2年2024月XNUMX日より、WHOISベースの電子メールドメイン制御検証(DCV)方式によるSSL/TLS SSL.com では、この証明書は受け入れられなくなります。業界の専門家によってこの証明書が脆弱であることが最近証明され、CA/ブラウザ フォーラムによる撤回が予定されています。
watchTowrのセキュリティ研究者は最近、権威あるWHOISサーバーの公式ホームとしてかつて使用されていた期限切れのドメインを登録することで脆弱性を発見しました。135,000を超えるシステムが不正なサーバーにクエリを送信し続け、偽造SSL/TLS証明書を発行できる可能性があります。TLS 証明書。この事件はWHOISシステムの重大な欠陥を露呈した。これに対してGoogleは 提案された CA/ブラウザ フォーラムによる投票で、ドメイン検証方法として WHOIS やその他のドメイン連絡先情報ソースを段階的に廃止することになりました。Google の提案では、15 年 2025 月 XNUMX 日までにすべての認証局が実装する必要がある以下の変更点が概説されています。
- 認証局 (CA) はドメイン連絡先情報を使用できなくなります。
- CA は、ドメイン連絡先データに依存するドメイン検証を再利用することが禁止されます。
この変更は SSL.com の顧客にどのような影響を与えますか?
ドメイン検証プロセスには、WHOIS、RDAP、またはその他のドメイン コンタクト ソースからの電子メール アドレスは含まれません。SSL.com アカウントでドメインを検証する際、ドロップダウン メニューには、ドメイン名登録機関から以前に選択した電子メール アドレスは含まれません。また、既存のドメイン コンタクト ベースの検証は、証明書の再発行または更新に再利用できなくなります。別の方法でドメインを再検証する必要があります。SSL.com の顧客は次に何をすべきでしょうか?
この変更に備えるには、2 年 2024 月 XNUMX 日までに別の DCV 方法に切り替える必要があります。DCV のその他のオプションについては、次のセクションで説明します。SSL.com では他にどのようなオプションが提供されていますか?
業界がドメイン コンタクト データの使用をやめつつあるため、ユーザーはできるだけ早くサポートされている他の DCV 方法のいずれかに移行することをお勧めします。SSL.com では、以下にリストされているいくつかの代替手段を提供しています。DCV 方法の完全なガイドについては、この SSL.com の記事を参照してください。 SSL.com SSL /の要件は何ですかTLS 証明書ドメインの検証?- メールチャレンジレスポンス
ご注文後、承認されたアドレスにメールが送信されます。メール内のリンクに従って検証コードを入力し、ドメイン制御を確立してください。 - HTTP/HTTPS経由のファイル検索
証明書署名リクエストのハッシュデータを含む特定のファイルをウェブサイトにアップロードします(CSR)と、SSL.com から提供される固有のトークンが必要です。ファイルが適切に配置されると、ドメイン制御が確認されます。 - DNS CNAMEルックアップ
ドメインのDNSにSSL.comを指すCNAMEレコードを作成します。このエントリには、次のURLのMD5ハッシュとSHA-256ハッシュを含める必要があります。 CSR および固有のトークン。