Domain Control Validation, DCVの手法についてはCA/B Forumが発行するBaseline Requirementsに多数定義されており,CAはこれに従って認証を行う.
- 原文:https://cabforum.org/working-groups/server/baseline-requirements/documents/CA-Browser-Forum-TLS-BR-2.1.9.pdf
- 日訳:https://tamasan238.hatenablog.com/entry/2025/11/29/182200
- 最新:https://cabforum.org/working-groups/server/baseline-requirements/documents/
ACMEにおけるDCV
Baseline Requirementsに示されたもののうち,自動化に適したものを使用して認証を行う. 代表的な認証方式は次の通り.
ACME本体は RFC 8555で定義されているが,他のRFCでさまざまな拡張が定義されている. ただし,サーバ(CA)/クライアント(Certbot他)共にそれらに対応している必要がある.
● HTTP Challenge
80/TCPにて, .well-known/acme_challenge/[random_value]へのトラフィックに介入する必要あり.
https://tex2e.github.io/rfc-translater/html/rfc8555.html#8-3--HTTP-Challenge
● DNS Challenge
TXTレコードの書き換えが必要.
_acme-challenge.www.example.org. 300 IN TXT "gfj9Xq...Rg85nM"
https://tex2e.github.io/rfc-translater/html/rfc8555.html#8-4--DNS-Challenge
● TLS with ALPN Challenge
443/TCPを使用.TLSハンドシェイクを拡張するALPNによって実現.
ACME本体とは別のRFCで定義されており,対応している認証局/クライアントは上記2件と比べると少ない.
● Others
その他,新規に認証方式を定義するRFCが公開されることもある.
https://datatracker.ietf.org/doc/rfc8555/referencedby/
CAによるその他のDCV
● DigiCert
手動更新 では以下を利用可能.(CertCentral APIを使用した自動申請も含む)
- メール認証
- Verification Email
- admin@, administrator@, hostmaster@, postmaster@, webmaster@ のいずれかから選択
- https://knowledge.digicert.com/jp/solution/dcv-approval-email
- DNS TXT record email contacts
- 任意のメールアドレスを指定可能
_validation-contactemail.sub.example.com TXT example@example.com- https://knowledge.digicert.com/jp/solution/dcv-approval-email#q9
- Verification Email
- DNS認証
- DNS TXT Record
sub.example.com. TXT [random_value]or_dnsauth.sub.example.com. TXT [random_value]- https://knowledge.digicert.com/jp/solution/dcv-approval-dns#question2
- DNS CNAME Record
_dnsauth.sub.example.com. CNAME [random_value].dcv.digicert.com.- https://docs.digicert.com/ja/whats-new/change-log/certcentral-change-log.html#-en--october-28--2025-619426
- DNS TXT Record
- ファイル認証
- HTTP Practical Demonstration/HTTP practical demonstration with unique filename
https://knowledge.digicert.com/jp/solution/dcv-ssl-smid-domain
自動更新 にはACME(HTTP-01, DNS-01)を前提としている様子. CertCentral以外からの契約時(TLM, 包括契約, ...)にACME以外のDCV手法が提供されているかは未確認.
https://knowledge.digicert.com/jp/general-information/acme-faq#dcv
なおTLMを使用せずCertCentralからオーダーしており,かつサブスクリプション契約でない場合(CertCentralからのサブスク契約は2025/11時点で未実装),契約更新ごとに新たなオーダーIDが発行される. したがって,ACMEを使用していても契約更新後初回の更新時には手動でACMEクライアントのパラメータを変更する必要がある. 回避するには以下のいずれかを選択し,同一のオーダーIDを継続して使用できるようにしなければならない.
- 個別注文から一括購入に切り替え,サブスクリプション型の包括契約(エンタープライズサブスクリプション契約)を選択する
- CertCentralにサブスクリプション型の個別注文(CertCentral e-comerceサブスクリプション)が実装されるのを待ち,契約を切り替える
- Trust Lifecycle Manager(TLM)を契約する
なおTLMには各種DNSサービスとの連携機能が実装されており,使用しているDNSサービスが対応していればDCVも自動化可能.
証明書のインストールについても,ApacheやNginxなどのソフトウェアのほか,A10やCitrix,F5などの各種アプライアンス,AWS, Google Cloudなどクラウドサービスとの連携あり.
- アプライアンス:https://docs.digicert.com/ja/trust-lifecycle-manager/build-your-inventory-and-ecosystem/connectors/appliances.html
- ソフトウェア:https://docs.digicert.com/ja/trust-lifecycle-manager/automate-management-of-certificates/managed-automation-solution/supported-systems.html
- クラウドサービス:https://docs.digicert.com/ja/trust-lifecycle-manager/build-your-inventory-and-ecosystem/connectors/cloud-services.html
TLMでは,DigiCert以外のCAによる証明書を使用することも可能.Let's Encryptも含まれていた.
