Comodo オンラインドメイン認証の仕様が、2017年7月20日から変更になりました。
Comodo SSL証明書を取得する場合、ドメイン認証SSL・企業認証SSL・EV認証SSL に関わらず、メール認証 or ファイル認証 or DNS認証、いずれか1つの認証方法を選択し、オンライン認証をパスする必要があります。
今回、この3種類の認証方法のうち、ファイル認証とDNS認証の仕様が変更されました。メール認証の仕様変更はありません。
ファイル認証
ファイル認証とは、Comodo が指定する固有の「認証ファイル」を申請ドメインのウェブサイトにアップロードし、Comodo のクローラーが検知することで、ドメイン管理者であることを確認するオンライン認証方法です。
今回の仕様変更では、認証ファイルをアップロードするディレクトリが変更になりました。
認証ファイルをアップするディレクトリ
変更前:http://申請したFQDN/認証ファイル.txt
変更後:http(s)://申請したFQDN/.well-known/pki-validation/認証ファイル.txt
例えば、認証ファイルへのパスは、以下のようになります。
http://abc.com/.well-known/pki-validation/8D74EE158718C552568B8B7D79F6FD9E.txt
Comodo のクローラーによる確認は、http:// でも https:// でも行われますが、Best SSL(弊社運営サイト)の申請ページで、いづれかを選択指定する必要があります。
認証ファイルの内容も仕様変更されますが、申請後に BestSSL マイページからダウンロードできますので、特段意識する必要はありません。
ちなみに、以下は、認証ファイルの内容例です。
C9C863405FE7675A3988B97664EA6BAF442019E4E52FA335F406F7C5F26CF14F comodoca.com 10AF9DB9TU231
ファイル認証を選択する際の注意点
他のURLへリダイレクトされる、ブラウザにSSLエラーメッセージが表示されるなど、認証ファイルにアクセスできないために、オンライン認証をパスできない事例は多くあります。
認証ファイルのパスにアクセスできる設定が可能か?サーバ管理者への事前確認が重要です。
また、認証ファイルのアップロード完了後は、認証ファイルへのパスにアクセスできるか?実際にアクセスして確かめることも大切です。アクセスできない状態を放置した場合でも、Comodoから連絡などはありません。
DNS認証
Comodo が指定する固有の「認証文字列」を DNS のレコードに追加し、Comodo が確認することで、ドメイン管理者であることを確認するオンライン認証方法です。
今回の仕様変更は、以下のとおりです。
レコードタイプ: CNAME(変更なし)
レコード: アンダースコア ("_") の追加
認証文字列:SHA256 を利用したハッシュ値
認証文字列の仕様も変更されますが、申請後に BestSSL マイページからダウンロードできますので、特段意識する必要はありません。
ちなみに、以下は、CNAMEレコードの内容例です。
_C7FBC2039E400C8EF74129EC7DB1842C.abc.com CNAME C9C863405FE7675A3988B97664EA6BAF.442019E4E52FA335F406F7C5F26CF14F.comodoca.com
まとめ
Comodo オンラインドメイン認証の仕様が変わった。
対応方法が変わるのは、ファイル認証とDNS認証のみで、メール認証は変わらない。
ファイル認証の変更ポイントは、認証ファイルのアップロードディレクトリの変更。認証ファイルの仕様変更もあるが、BestSSL ダウンロードサービスの利用で、意識する必要なし。
DNS認証の変更ポイントは、認証文字列の仕様変更。BestSSL ダウンロードサービスの利用で、意識する必要なし。