フィッシング対策協議会（東京都中央区、会長：岡村 久道）の証明書普及促進ワーキンググループ（主査：田上 利博）は、「SSL/TLSサーバー証明書における WHOIS 情報を利用したドメイン名使用権確認方法の廃止について（以下、本解説ドキュメント）」を公開しました。

はじめに

フィッシング詐欺がますます巧妙化している現代において、SSL/TLS サーバー証明書は、Web サイトとユーザー間の通信を暗号化し、第三者による情報の盗聴や改ざんを防ぐ役割を果たすため、オンラインビジネスや個人情報を守るために欠かせない仕組みになっています。フィッシング詐欺に対する防御力を強化し、サイトの信頼性を高めるために、SSL/TLS サーバー証明書の導入はもはや選択ではなく、必須のセキュリティ対策となっています。

SSL/TLS サーバー証明書発行に必要な手続きとして一般的であった WHOIS 情報の利用が廃止されるため、SSL/TLS サーバー証明書の継続的な利用にあたり、本変更内容の詳細について解説します。

WHOIS 情報を利用したドメイン名使用権確認方法の廃止について

SSL/TLS サーバー証明書の発行手続きにおいて、証明書を発行する対象のドメイン名が実際にその証明書の所有者（または申請者）組織によって管理されていることの確認が、サーバー証明書発行元である認証局（ CA ）により実施されます。この確認は、悪意のある行為者が自ら管理していないドメイン名の証明書を取得することを防ぐのに役立ち、Web サイトにアクセスする閲覧者がそのドメイン名の情報を信頼できることを認証局が証明書の発行前に確認するという重要な役割を担っています。

この確認方法をドメイン名使用権（ DCV：Domain Control Validation ）と呼びますが、業界規格団体である CA/Browser Forum（ CABF ）でその方法は規定されています。これまでその一般的な確認方法の一つであった WHOIS に記載された連絡先への確認方法に関して脆弱性が発覚したため、段階的に廃止されることとなりました。

具体的には、WHOIS に記載された各ドメインへの連絡先（ E メール、FAX、電話番号など）宛に CA が連絡し、受信者が CA へ返信等を行うことで、ドメイン名登録者であることの確認としていましたが、この方法が利用不可となります。

CABF では、上記の WHOIS 情報を利用した確認方法を以下の日程で変更しています。

• 2025 年 1 月 15 日以降：必ず最初に IANA の WHOIS サーバーデータベースを参照した上で WHOIS を利用すること
• 2025 年 7 月 15 日以降： WHOIS 情報を利用したすべての認証方法の利用禁止

※上記日付は確認（検証・審査）完了日です。
※各 CA により、上記基準を踏まえた申込み期限等は異なりますので、詳細な対応方法等は各 CA にお問合せください。

背景

原因となった脆弱性は、ある WHOIS をホストしていたドメイン名に起因します。その WHOIS サーバーはドメイン名が変更され、旧ドメイン名を第三者により取得できる状態となっており、そのため第三者が旧ドメイン名を登録し偽の WHOIS サーバーを構築することが可能でした。これにより、サーバー証明書の発行申請の際 CA による認証時に、CA が誤って偽の WHOIS へアクセスしてしまう可能性がありました。そして偽の WHOIS へアクセスしてしまった CA に対して、偽の WHOIS 情報を提示することで、ドメイン名登録者を装い、不正に審査を通過することができたことが判明しました。

つまり一部のケースでは、第三者がドメイン名登録者の確認に利用される情報を偽装し得ることが示唆されおり、悪意を持った第三者によってサーバー証明書を取得される恐れが生じました。
（出典）Ballot SC080v3: Sunset the use of WHOIS to identify Domain Contacts and relying DCV Methods | CA/Browser Forum

この脆弱性を受け、CABF は、WHOIS をドメイン名使用権の確認に利用することはその他の確認方法に比べリスクがあると判断し、WHOIS をドメイン名使用権の確認先として利用不可とする判断を投票により決定しました。

WHOIS 情報以外のドメイン名使用権確認方法

CABF は、WHOIS 情報を利用したドメイン名使用権確認方法のほかに、2025 年 3 月現在、下記複数の確認方法を規定しています。証明書申請者は、このうちいずれかの確認方法に則り、ドメイン名使用権確認に対応することができます。

確認方法によっては技術的な対応が一部必要なため、SSL/TLS サーバー証明書を主に利用する事業者・申請者別に、ご利用しやすい各確認方法を分類し紹介します。
※各 CA により対応している確認方法が異なり、各 CA が以下確認方法をすべて採用している訳ではございませんので、どの方法が対応しているかは各 CA へお問い合せください。また、各確認方法については、データ利用の有効期限などの制限が定められていることがあります。各 CA へ確認の上、ご注意ください。

自社サイト・ドメイン名管理者の方向けの確認方法

Web サイト向けのドメインや証明書の申請を行っている方で、DNS サーバーや Web サーバーの運用管理には関わっていない方。

① ドメイン名に紐づくメールアドレスでの確認（ Baseline Requirements 3.2.2.4.4 ）

※申請ドメイン名を@以下に持つ、下記５アドレスのいずれかへ送付される審査メールを受信し、返信を行う

例：www.example.com で証明書申請し admin@ で対応する場合、admin@example.com がメール送付先となります。

• admin@
• administrator@
• webmaster@
• hostmaster@
• postmaster@

② ドメイン名連絡先担当者からの証明書申請による確認（ Baseline Requirements 3.2.2.4.12 ）

※ドメイン名のレジストラーも合わせて行う CA へ申請を行う場合、ドメイン名連絡先に登録されている担当者が証明書申請を行い確認

サーバー運営者の方向けの確認方法

Web サーバー、DNS サーバーの設定を行いつつ、証明書の申請も行う方。

③ DNS サーバーへの文字列設定による確認（ Baseline Requirements 3.2.2.4.7 ）

※ CA から申請者宛に案内される文字列を、申請ドメイン名の DNS サーバー( CNAME,TXT,CAA )のいずれかへ設定する

④ DNS サーバー記載のメールアドレスでの確認（ Baseline Requirements 3.2.2.4.13 ）( Baseline Requirements 3.2.2.4.14 )

※申請ドメイン名の DNS サーバー( CAA,TXT )に登録されたメールアドレスに送付される、CA からの審査メールに返信

⑤ DNS サーバー記載の電話番号での確認（ Baseline Requirements 3.2.2.4.1 ）( Baseline Requirements 3.2.2.4.17 )

※申請ドメイン名の DNS サーバー( CAA,TXT )に登録された電話番号へかかる、CA からの審査電話を受電し確認

⑥ IP アドレスでの確認（ Baseline Requirements 3.2.2.4.8 ）

※申請ドメイン名( FQDN )の A または AAAA 記録の DNS 参照から戻った IP アドレスを確認

サイト運営者の方向けの確認方法

Web サーバーの運用管理を行い、証明書の申請を行う方。

⑦ファイルを用いた確認（ Baseline Requirements 3.2.2.4.18 ）

※申請ドメイン名配下に「 /.well-known/pki-validation 」ディレクトリを作成し、CA から指定される文字列等を当該ディレクトリに設定

⑧ ACME 標準の「チャレンジ」を用いた確認（ Baseline Requirements 3.2.2.4.19 ）

※申請ドメイン名配下に「 /.well-known/acme-challenge 」ディレクトリを作成し、CA から指定される文字列等を当該ディレクトリに設定

⑨ ALPN 拡張機能を用いた確認（ Baseline Requirements 3.2.2.4.20 ）

※申請ドメイン名での ALPN 拡張機能において、CA から指定される新しいアプリケーション層プロトコルを設定

まとめ

SSL/TLS サーバー証明書の導入において必要なドメイン名使用権確認方法として一般的であった WHOIS 情報は利用不可となりましたが、業界規格団体である CA/Browser Forum では、それに代わる代替確認方法が各種用意されています。いずれの確認方法も同等のセキュリティレベルであるため、利用者にとって対応しやすい確認方法をご利用先の CA と相談のうえ選択ください。その他の確認方法に関しては、CABF の Baseline Requirements（ https://cabforum.org/working-groups/server/baseline-requirements/requirements/#3224-validation-of-domain-authorization-or-control ）を確認ください。

補足情報

WHOIS とは

WHOIS（フーイズ）は、インターネット上のドメイン名や IP アドレスに関する登録情報を参照できるサービスです。 WHOIS を利用することで、ドメイン名を登録した人（または企業）や、ドメイン名の登録者の連絡先情報、登録日、更新日、有効期限などの詳細を調べることができます。

WHOIS 情報に含まれる主な項目

• 登録者情報（ Registrant ）：ドメイン名の登録者の名前や連絡先情報。
• 登録者の住所（ Registrant Contact ）：住所や連絡先などの詳細情報。
• レジストラー情報（ Registrar ）：ドメイン名を管理している会社。
• 登録日（ Creation Date ）：ドメイン名が最初に登録された日。
• 更新日（ Updated Date ）：ドメイン名が最後に更新された日。
• 有効期限（ Expiration Date ）：ドメイン名の有効期限。

なお、最近では、ドメイン名の登録者情報を非公開にする「 WHOIS プライバシー保護」サービスを提供するレジストラーが増えています。このサービスを利用すると、登録者の個人情報が公開されることなく、代わりに代理の連絡先が表示されることがあります。

なぜドメイン名利用権確認が必要なのか

ドメイン名利用権確認の目的は、証明書を発行する前に、申請者がそのドメイン名の正当な登録者であることを確認することです。不正な申請者への証明書発行が可能となる場合、他人のドメイン名を使って証明書を取得され、フィッシングサイトなどの悪意ある活動に活用される危険性があります。そのため、この確認があることで、インターネット上でのサイト信頼性が確保され、安全な通信が構築されています。