SSLサーバ証明書をはじめとした電子証明書の発行に関する要件が、近々大きく変更される予定です。認証局(CA)や登録機関(RA)において、従来使用されてきたWHOISに依存しない方法でドメインの連絡先情報を取得する新しいプロセスが求められています。本記事では、今回の要件変更の詳細と具体的なスケジュール、さらにその影響について解説します。
※本記事は、今回の要件変更に関する議論の投票が完了した時点での情報になります。2024年12月14日のレビュー結果を踏まえて、本要件が確定する予定です。
要件変更の背景と概要
期限切れとなったWHOISサーバを通じて提供されるWHOIS情報に依存する認証局の検証プロセスの脆弱性や、gTLDとccTLDが正確または最新の WHOISサーバレコードを保持していない可能性があるため、WHOISに関するリスクが浮き彫りとなっています。そこで、WHOISに依存するドメイン認証ではなく、よりセキュアで正確なドメイン利用権の確認を行うための、新たな要件に関して議論が進められました。これにより、今後、ドメイン承認者メールを取得するためにWHOISを使用することは禁止され、別の認証手段に移行することが求められます。
主要な変更の適用日
2025年1月15日
認証局は許可された再利用期間内であっても、WHOISプロトコルを介せずに、WHOIS情報を確認できるレジストラのWebサイトを通して取得したWHOIS情報は、ドメイン認証に再利用できません。なお、WHOISプロトコル(RFC 3912)を使用する場合は、IANAのWHOISサーバにクエリを実行し、適切なWHOISサーバを参照する必要があります。また、レジストリデータアクセスプロトコル(RFC 7482)を使用する場合、IANAのブートストラップファイルを使用して、ドメインの正しいRDAPサーバを識別し、照会する必要があります。加えて、どちらも48時間以上経過した情報は無効とされ、最新の情報を利用する必要があります。
2025年7月15日
以下の方法を使用した、電子証明書の新規発行が禁止されます。
- WHOISに記載の連絡先へのメール、FAX、SMS、または郵送
- WHOISに記載の連絡先への電話連絡
これにより、WHOISを使用した既存の方法で認証されたドメインは再認証が必要となります。また、2025年7月15日以降にドメイン認証を実施する際には、他の認証方法で行う必要があります。
今回の変更がもたらす影響
今回の変更によって想定される影響としては、下記になります。
1. WHOISの利用制限
認証局は、レジストリサイトからWHOIS情報を取得する従来の方法を使用できなくなるため、新しい方法に移行し、正確で最新の情報取得を行う必要があります。
2. ドメイン認証方法の廃止と有効期限の設定
従来の認証方法であるWHOISから取得したメールアドレスを利用したドメイン認証が全面的に禁止されます。すべてのドメインについてこの方法での認証データは無効となり、影響を受けるドメインは新たな認証手段による再認証が求められます。
弊社の対応方針
GMOグローバルサインは、これらの要件変更に対応するため、以下のような対策を講じています。
1.利用可能な他のドメイン認証方法への移行
今後のWHOISのドメイン認証を目的とした利用の廃止に伴い、利用可能な他のドメイン認証方法への移行を推奨します。例えば、メール認証を引き続き利用される場合、管理者として想定されるメールアドレス(admin@、hostmaster@、webmaster@など)への移行を推奨します。具体的に、弊社で利用可能なドメイン認証方法は下記になります。
- メール認証
- 管理者として想定されるメールアドレス(admin@、hostmaster@、webmaster@など)
DNS TXTレコードの登録メールアドレス - DNS認証
- ページ認証
2.ドメイン認証情報の有効期限を見据えたサポート提供
影響を受けるお客様が事前に準備できるよう、各種サポートを提供するために、WHOISを用いたドメイン認証の利用停止に対するスケジュールや対応内容に関しては、現在検討しております。内容が決まりましたら、改めてお知らせします。
まとめ
2025年に向けた新たな要件変更は、認証局と電子証明書をご利用のお客様にとって、重要な転換点となります。電子証明書の発行プロセスにおける安全性の向上が期待される一方で、現行のWHOIS情報を用いた認証方法を活用されているお客様にとっては、有効なドメイン認証方法への対応が迫られます。GMOグローバルサインでは、これらの変更に対応するためのサポートを提供し、お客様のセキュリティを高める取り組みを続けてまいります。
関連リンク
Discussion Period Begins - Ballot SC-080 V3
Result of the Ballot SC80v3: Sunset the use of WHOIS to identify Domain Contacts and relying DCV Methods