CAブラウザーフォーラム WHOIS 利用のドメイン検証を禁止

2018年8月10日

カテゴリー: SSLサーバ証明書
ニュースソース:CA/Browser Forum
以下は 2018年02月05日に公開された Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates 1.5.6を要約したものです。


2018年8月1日から、認証局(CA)は、デジタル証明書発行にあたって、ドメイン所有権の検証のために WHOIS を利用することができなくなりました。同時に、弁護士などの法律家によって提出されたドメイン所有権確認意見書も利用できなくなりました。

従来、ドメイン所有権の検証のために10件のメソッドが有効とされていましたが、そのうち #1 の「WHOIS」検証と #5 の「法律家によって提出されたドメイン所有権確認意見書」検証が2018年8月1日から無効となりました。
認証局(CA)は残る8件のメソッドでドメイン所有権の検証を行う必要があります。

なお、「WHOIS」検証はGDPRによる規制により、すでに困難になっていました。

残る8件のメソッドは以下です。

  • メソッド #2 – 認証局(CA)がドメイン所有に郵送を含む各種手段で乱数を送付、返信でその乱数を検証し、所有権を確認。
  • メソッド #3 – 認証局(CA)がドメイン所有に電話し、所有権を確認。
  • メソッド #4 – 認証局(CA)が以下の1件以上のメールアドレスにメールを送付し、所有権を確認。
    Admin@Domain
    Administrator@Domain
    Webmaster@Domain
    Hostmaster@Domain
    Postmaster@Domain
    注: WHOIS のドメイン所有者のメールアドレスが利用可能な場合は、上記リストにそれを加えることもできる。
  • メソッド #6 – 認証局(CA)が依頼した変更がドメインの Web サイトで行われたことで、所有権を確認。
  • メソッド #7 – 認証局(CA)が指定した乱数がドメインの DNS の CNAME、 TXT、 CAACA レコードのいずれかに記載されることで、所有権を確認。
  • メソッド #8 – 認証局(CA)は申請者が IP アドレスの管理者である場合、所有権を確認。
  • メソッド #9 – 認証局(CA)は有効期限内のテスト証明書がドメインの Web サイトに存在することで、所有権を確認。
  • メソッド #10 – 認証局(CA)は正規 TLS ポートでアクセスしたドメインの証明書内の特定の乱数を検証し、所有権を確認。