SSL証明書のWeb認証の仕様変更｜スタッフブログ｜株式会社インソースマーケティングデザイン

システムエンジニア

大貫晃一

2021.09.30 システム

SSL証明書のWeb認証の仕様変更

先日、グローバルサインよりWeb認証（ページ認証）の仕様変更の連絡が届きました。

1 SSL証明書の認証方法の種類
2 Web認証（ページ認証）の仕様がどのように変わるか
3 仕様変更の理由
4 今後の運用方針

SSL証明書の認証方法の種類

SSL証明書は、発行する際に不正にSSL証明書を発行されないように「対象のドメインの使用権を持っているか」確認が入るのですが、以下の3種類の認証方法があります。

＜認証方法＞
・メール認証
・DNS認証
・Web（ページ）認証

メール認証

「メール認証」とは、申請したドメインの管理者メールアドレス宛にSSL証明書発行ベンダーから認証メールが送信され、メールに記載されたリンクをクリックすることで認証する方法です。
弊社では、以前はこちらの方式をメインで使用しておりましたが、お客様に承認メールのリンクをクリックして頂く必要があり、メールが受信できなかったり、なかなか認証頂けなかったりと、SSL証明書の更新作業が滞ることがありました。

DNS認証

「DNS認証」とは、SSL証明書発行ベンダーから指定されたレコードをDNSに登録することで認証する方法です。
DNSを弊社で管理しているお客様では弊社で対応できますが、お客様にて管理されている場合は設定に知識が必要であったり、別のドメイン管理業者が入っている場合は、指示と設定費が必要であったりと、手間がかかるため、あまり使用することはありませんでした。

Web（ページ）認証

「Web（ページ）認証」とは、SSL証明書発行ベンダーから指定されたデータを、対象ドメインのサイト上にアップすることで認証する方法です。
上記の「メール認証」や「DNS認証」よりもお客様に実施していただく手間が発生せずに実施できるので、弊社ではこちらの方式をメインで使用しておりました。

Web認証（ページ認証）の仕様がどのように変わるか

しかし、今回の仕様変更で、Web認証（ページ認証）が以下の通り変更となりました。

ワイルドカードのSSL証明書

例）「*.insource-mkd.co.jp」のようにどんなサブドメインにも対応可能なSSL証明書
→今までは「insource-mkd.co.jp」のサイトで認証できたが、Web認証（ページ認証）での認証ができなくなりました。
（「メール認証」か「DNS認証」であれば認証可能）

サブドメイン用のSSL証明書

例）「test.insource-mkd.co.jp」のようなサブドメイン用のSSL証明書
→今までは「insource-mkd.co.jp」のサイトでも認証できたが、申請したサブドメインでないと認証ができなくなりました。

2wayのSSL証明書

例）「insource-mkd.co.jp」と「www.insource-mkd.co.jp」のようにwwwなしとwwwありの両方に対応したSSL証明書
→今までは、この記事（https://insource-mkd.co.jp/staff-blog/20398.html）のように2wayのSSL証明書を発行させるためには、wwwなしのドメインで認証すれば、発行されましたが、wwwなしとwwwありの両方のドメインで認証しないと2wayのSSL証明書は発行されないようになりました。

仕様変更の理由

今回、このように仕様変更された背景には、「CA/Browserフォーラム」という電子証明書を使った通信の安全性やその利便性を向上させるためのガイドラインを策定している組織で、Web認証（ページ認証）の認証がFQDNごとへ変更すると決定されたことによるものだそうです。

今までの認証方式だと親のドメイン（insource-mkd.co.jp）のサイトを持っていればサブドメインのSSL証明書を取ることも出来たので、例えば、サブドメイン（test.insource-mkd.co.jp）のサイトを管理している別の事業所や法人だったとしても、SSL証明書が発行されてしまうことや、
親のドメイン（insource-mkd.co.jp）がハッキングされた場合も認証できてしまうことから、Web認証（ページ認証）の場合は、ドメイン単位で認証が必要になったようです。

このことからワイルドカードはドメイン単位での認証が出来ないので、Web認証（ページ認証）が出来なくなったようです。