DigiCert証明書の正規代理店株式会社アールエムエス
DigiCert サーバー証明書利用団体
  1. ホーム
  2. サポート
  3. 技術情報
  4. 新gTLDの影響

ICANNによる新gTLDの発行とその影響

2011年6月、ICANNは組織、個人、政府から新しい最上位レベルの名前空間 (gTLD) の提案を受け付けることを発表しました。
これまでは、およそ2ダースほどの .com、.net、.org等のトップレベルドメインと .jp などの数々の国別のドメインが最上位レベルの名前空間 (gTLD)に存在しました。
今後登録される新しいTLDで証明書の発行申請が行われた場合、認証局 (CA)申請者がそのドメインの管理者であるかどうかのチェックを行います。申請者がドメイン管理者でない場合は証明書を発行できません。
このチェックは既に発行されている証明書についても行われ、これまで利用していた内部ドメインが別のドメイン管理者のものであった場合、該当の証明書は取り消されます。
この変更はどの認証局が発行したかに関わらず、内部ドメイン名を使っている全てのサーバ証明書に影響を与えます。

対応策

該当する内部ドメイン名を使っている証明書の管理者は、公的なドメイン名だけを使うようサーバーを再設定し、サーバ証明書を再取得する必要があります。
内部ドメインとして所有権のないドメインを利用している発行済みのサーバ証明書は、期限内にドメイン名が申請者によって正しく登録されない限り、失効処理されます。
なお、CA/ブラウザフォーラムの規定により、有効期限が2015年11月1日以降の全ての内部ドメイン名を使ったSSLサーバ証明書は、該当の内部ドメイン名がICANNに申請されているか承認されているかとは無関係に、発行できなくなります。
公的な証明書を使うイントラネットなどのすべての内部接続は、公的に認証されたドメイン名で行う必要があります。

内部ドメイン名の利用が多いExchangeでの再設定方法は、Exchange を外部ドメイン名利用に再設定するを参照し、Exchangeを再設定したうえで、証明書の再発行を申請してください。

どの名前がトップドメインとして認証されるのか

以下の良く使われている名前はトップドメインとして認証されると思われます。

  • .corp
  • .mail
  • .site
  • .email
  • .dev
  • .network
  • .prod
  • .web
  • .home
  • .new

ICANN の承認の可能性がある全ドメイン名リストは、ICANN の NEW GTLD CURRENT APPLICATION STATUS ページを参照ください。

背景

ICANN の変更に伴って、2011年11月、CA/ブラウザフォーラムは公的に信頼された証明書の発行と管理での「内部ドメイン名を使用する新しい証明書の発行を段階的に廃止する」基準要件を採用しました。
この決定とその影響の詳細については2015年以降の内部ドメイン名サーバ証明書を参照ください。また、この基準要請はアメリカ公認会計士協会及びカナダ勅許会計士協会による WebTrust と ETSI (欧州電気通信標準化協会)規格などの認証局 (CA) 向けグローバル監査基準に採用されています。

歴史的に、イントラネットなどの私的ネットワーク内では、TLD登録されていないドメイン名を自由に使うことができます。.corp、.mail、.site等はそのようにして一般的に使われてきたドメインですが、これらはすべてgTLDとしての申請されています。
こうしたドメイン名がICANNによって承認されると、DNSで名前解決可能となり、内部ネットワークで利用されている場合には衝突を避けるため該当ドメインを使用停止にする必要があります。
SSLサーバ証明書の発行プロセスでは、ドメイン名の所有者を検証します。したがって、レジストラにドメイン名所有者として登録されていない申請者にはサーバー証明書は発行されません。

関連情報

SSL サーバ証明書とは?
30日間テスト証明書
30日間返金保証制度あり!
コードサイニング証明書
ドキュメントサイニング証明書
デジタル証明書ニュース
HTTPS入門
digicert.comトピックス&ニュース