サービス名から探す : CDN/Edge Platform Powered by Akamaiに関するお知らせ

  1. サポートトップ
  2. サービス名から探す
  3. CDN/Edge Platform Powered by Akamai
  4. お知らせ
  5. DigiCert社OV証明書及びEV証明書に関する変更について

サービスに関するメニュー・サポート情報

サービスに関するメニュー・サポート情報

CDN/Edge Platform Powered by Akamai

DigiCert社OV証明書及びEV証明書に関する変更について

お客様各位

平素は弊社CDN(Akamai)をご利用いただきまして誠にありがとうございます。

[概要]
Akamai調達のDigiCert社発行OV証明書及びEV証明書に関しまして、以下2点の変更がございます。

1.Trust Chainの変更について
2.新規証明書発行時及び証明書更新時におけるドメイン認証の方法変更について

1. Trust Chainの変更について

現在、Akamai経由でご利用いただいているDigiCert社のOV証明書及びEV証明書は、
ルート証明書としてDigiCert Global Root CA (G1)にチェーンしております。
2025年2月5日以降、ACCポータル上のCertificate Provisioning System(以下、CPS)にてルート証明書を以下より選択できる機能が追加される予定です。

・DigiCert Global Root CA (G1) <= デフォルト
・DigiCert Global Root G2 (RSA証明書用)
・DigiCert Global Root G3 (ECDSA証明書用)
・DigiCert G5 roots (ブラウザにて利用可能となり次第、適用可能)

また、2025年3月6日以降、CPS上で適用されるルート証明書のデフォルトが以下に変更となります。
これは、この日以降に更新された証明書がアカマイネットワークに展開される際に、新しいデフォルトのルート証明書が適用されることを意味します。

・DigiCert Global Root G2 (RSA証明書用)
・DigiCert Global Root G3 (ECDSA証明書用)

参考: Akamai-managed OV and EV root certificate transition: Trust Chain Selector and G2 Default Update (英語)
https://community.akamai.com/customers/s/article/Akamai-managed-OV-EV-root-transition-DigiCert-G5-roots?language=en_US

この変更において、ブラウザ等を用いた通信に影響はありませんが、アプリケーションに中間証明書を固定(Pinning)している場合や該当のルート証明書を持たないクライアントからのサーバ間通信などにおいて通信できなくなる可能性があります。
これらの懸念がある場合は、2025年2月5日にルート証明書を選択できる機能が追加された後、
ルート証明書を現在のデフォルトであるDigiCert Global Root CA (G1)へ明示的に変更しておくことを推奨いたします。
こちらの変更はお客様ご自身でも実施いただけますが、弊社での変更をご希望の場合は弊社営業担当までお問い合わせください。


2. 新規証明書発行時及び証明書更新時におけるドメイン認証の方法変更について

DigiCert社のOV証明書及びEV証明書を発行するには、ドメイン認証や組織認証といった各種認証を必要とします。
その中のドメイン認証は、これまでWhoisで公開されているメールアドレス宛、
もしくはドメインの5つの構築済みEメールアドレス(admin、administrator、webmaster、hostmaster、postmaster @[ドメイン名])宛に認証メールが送られる形で実施されてきました。

しかし、証明書の発行プロセスなどを管理する団体「CA/Bフォーラム」の決定により、
2025年1月8日以降、順次、Whoisで公開されているメールアドレスを認証メールの宛先として利用することができなくなります。
それに伴い、今後利用できるドメイン認証の方法は、以下5つとなります。

・DNS TXTレコードに登録されたメールアドレスを用いた認証
認証するドメイン名のDNS TXTレコードに事前に連絡先メールアドレスを登録いただくことで、
レコードにあるメールアドレスを認証メールの送信先とすることが可能です。

・構築されたメールアドレスを用いた認証
ドメインの5つの構築済みメールアドレス(admin、administrator、webmaster、hostmaster、postmaster @[ドメイン名])を認証メールの送信先とすることが可能です。

・DNS TXTレコードを用いた認証
DNSプロバイダーにアクセスし、TXTレコードを作成します。DigiCertが生成したランダムな値をドメインのTXTレコードに追加します。
※TXTレコードに設定する値は、発行後30日で有効期限切れとなります。

・DNS CNAMEレコードを用いた認証
DNSプロバイダーにアクセスし、CNAMEレコードを作成します。DigiCertが生成したランダムな値をドメインのTXTレコードに追加します。
※CNAMEレコードに設定する値は、発行後30日で有効期限切れとなります。

・HTTPでアクセス可能なファイルを用いた認証
DigiCert社が生成したランダム値を含むファイルを、ウェブサイトの所定の場所に設置します。
※ファイルに設定する値は、発行後30日で有効期限切れとなります。

参考: WHOIS ベースのEメール によるドメイン名の利用権確認(DCV)方式のご利用及びサポート終了に関するご案内 (DigiCert社によるアナウンス)
https://knowledge.digicert.com/jp/alerts/end-of-life-for-whois-based-email-dcv-method

<お問合せ先>

障害に関するお問い合わせ: cdn-trouble@ntt.com
CDN全般についてのお問い合わせ: cdn-query@ntt.com

サービストップへ戻る

前のページへ戻る