Geotrustオンラインドメイン認証への対応方法が変わりました。 2017年3月16日の申請から適用されています。
GeotrustのクイックSSLプレミアムやラピッドSSLなどのドメイン認証SSLを取得する場合、メール認証 or ファイル認証 or DNS認証、いずれか1つの認証方法を選択し、オンライン認証をパスする必要があります。
今回、この3種類の認証方法のうち、ファイル認証とDNS認証の仕様が変更されましたので、今後は異なる対応が必要になります。ちなみに、メール認証の仕様変更はありませんでした。
ファイル認証
ファイル認証とは、Geotrustが指定する固有の「認証ファイル」を申請ドメインのウェブサイトにアップロードし、Geotrustのクローラーが検知することで、ドメイン管理者であることを確認するオンライン認証方法です。
今回の仕様変更のポイントは、認証ファイルをアップロードするディレクトリが変更になったという点です。
認証ファイル配置場所の変更
変更前:http(s)://申請したFQDN/認証ファイル
変更後:http(s)://申請したFQDN/.well-known/pki-validation/認証ファイル
認証ファイルの仕様も変更されましたが、弊社の運営するBestSSL マイページで、ダウンロードサービスを利用することで、特段意識することなく対応することができます。
ファイル名の変更
変更前:ランダムな数値.htm
変更後:fileauth.txt
ファイル内容の仕様変更
変更前:32文字のハッシュ値
変更後:64文字のハッシュ値
※ハッシュ値とは、ハッシュ関数(暗号化のための関数)で生成されたランダムな文字列
DNS認証
Geotrustが指定する固有の「認証文字列」を DNS のレコードに追加し、Geotrustが確認することで、ドメイン管理者であることを確認するオンライン認証方法です。
今回の仕様変更のポイントは、レコードタイプが、CNAMEからTXTに変更された点です
レコードタイプの変更
変更前:CNAME
変更後:TXT
認証文字列の仕様も変更されましたが、弊社の運営するBestSSLマイページで、ダウンロードサービスを利用することで、特段意識することなく対応することができます。
認証文字列の仕様変更
変更前:32文字のハッシュ値
変更後:64文字のハッシュ値
ファイル認証利用時の注意点
ファイル認証を利用する場合、幾つか注意すべき点がありますので、紹介します。以下に当てはまる場合、ファイル認証を利用することができませんので、注意してください。
HTTPS接続サイトの場合で、ブラウザにSSLエラーメッセージが表示される
80ポート(HTTP接続)、443ポート(HTTPS接続)以外のポートを利用している
Webサイトが、TLS1.1 or TLS1.2 をサポートしていない(TLS1.0 以下の仕様では利用できません)
指定のURLから異なるURLへ転送されるサイト
まとめ
Geotrustドメイン認証への対応方法が変わった。
対応方法が変わるのは、ファイル認証とDNS認証のみで、メール認証は変わらない。
ファイル認証の変更ポイントは、認証ファイルのアップロードディレクトリの変更。認証ファイルの仕様変更もあるが、BestSSLダウンロードサービスの利用で、意識する必要なし。
DNS認証の変更ポイントは、レコードタイプのCNAMEからTXT の変更。認証文字列の仕様変更もあるが、BestSSLダウンロードサービスの利用で、意識する必要なし。