2021.09.30 システム
SSL証明書のWeb認証の仕様変更
先日、グローバルサインよりWeb認証(ページ認証)の仕様変更の連絡が届きました。
目次
SSL証明書の認証方法の種類
SSL証明書は、発行する際に不正にSSL証明書を発行されないように「対象のドメインの使用権を持っているか」確認が入るのですが、以下の3種類の認証方法があります。
<認証方法>
・メール認証
・DNS認証
・Web(ページ)認証
メール認証
「メール認証」とは、申請したドメインの管理者メールアドレス宛にSSL証明書発行ベンダーから認証メールが送信され、メールに記載されたリンクをクリックすることで認証する方法です。
弊社では、以前はこちらの方式をメインで使用しておりましたが、お客様に承認メールのリンクをクリックして頂く必要があり、メールが受信できなかったり、なかなか認証頂けなかったりと、SSL証明書の更新作業が滞ることがありました。
DNS認証
「DNS認証」とは、SSL証明書発行ベンダーから指定されたレコードをDNSに登録することで認証する方法です。
DNSを弊社で管理しているお客様では弊社で対応できますが、お客様にて管理されている場合は設定に知識が必要であったり、別のドメイン管理業者が入っている場合は、指示と設定費が必要であったりと、手間がかかるため、あまり使用することはありませんでした。
Web(ページ)認証
「Web(ページ)認証」とは、SSL証明書発行ベンダーから指定されたデータを、対象ドメインのサイト上にアップすることで認証する方法です。
上記の「メール認証」や「DNS認証」よりもお客様に実施していただく手間が発生せずに実施できるので、弊社ではこちらの方式をメインで使用しておりました。
Web認証(ページ認証)の仕様がどのように変わるか
しかし、今回の仕様変更で、Web認証(ページ認証)が以下の通り変更となりました。
ワイルドカードのSSL証明書
例)「*.insource-mkd.co.jp」のようにどんなサブドメインにも対応可能なSSL証明書
→今までは「insource-mkd.co.jp」のサイトで認証できたが、Web認証(ページ認証)での認証ができなくなりました。
(「メール認証」か「DNS認証」であれば認証可能)
サブドメイン用のSSL証明書
例)「test.insource-mkd.co.jp」のようなサブドメイン用のSSL証明書
→今までは「insource-mkd.co.jp」のサイトでも認証できたが、申請したサブドメインでないと認証ができなくなりました。
2wayのSSL証明書
例)「insource-mkd.co.jp」と「www.insource-mkd.co.jp」のようにwwwなしとwwwありの両方に対応したSSL証明書
→今までは、この記事(https://insource-mkd.co.jp/staff-blog/20398.html)のように2wayのSSL証明書を発行させるためには、wwwなしのドメインで認証すれば、発行されましたが、wwwなしとwwwありの両方のドメインで認証しないと2wayのSSL証明書は発行されないようになりました。
仕様変更の理由
今回、このように仕様変更された背景には、「CA/Browserフォーラム」という電子証明書を使った通信の安全性やその利便性を向上させるためのガイドラインを策定している組織で、Web認証(ページ認証)の認証がFQDNごとへ変更すると決定されたことによるものだそうです。
今までの認証方式だと親のドメイン(insource-mkd.co.jp)のサイトを持っていればサブドメインのSSL証明書を取ることも出来たので、例えば、サブドメイン(test.insource-mkd.co.jp)のサイトを管理している別の事業所や法人だったとしても、SSL証明書が発行されてしまうことや、
親のドメイン(insource-mkd.co.jp)がハッキングされた場合も認証できてしまうことから、Web認証(ページ認証)の場合は、ドメイン単位で認証が必要になったようです。
このことからワイルドカードはドメイン単位での認証が出来ないので、Web認証(ページ認証)が出来なくなったようです。
今後の運用方針
11月下旬頃(正確な日付は控えさせて頂きます)から、この仕様変更が実施されるそうですが、ワイルドカードのSSL証明書については、Web認証が出来なくなるので、弊社では、DNS認証などお客様に応じて対応させていただきます。
その他SSL証明書については、ドメイン単位で認証すれば、更新できるということなので、お客様の手を極力煩わせないよう引き続きWeb認証での対応を主な認証方法として実施していこうと思います。
このように順次、仕様変更やメンテナンス、セキュリティの情報をキャッチし、運用/提案を進めさせていただいておりますので、SSL証明書に限らず、サイトに関して不明な点やご相談などありましたら、
ぜひ、インソースマーケティングデザインまでご相談ください。