SSL/TLS 証明書の発行時、認証局はドメイン所有を確認するため複数の認証方式を提供しています。2018 年の GDPR 施行以降、Whois 情報のメールアドレスが取得できないドメインが大半となっており、現在は 「固定メールアドレス認証」「ファイル認証」「DNS 認証」のいずれかが主流です。
- Whois メール認証は現在ほぼ機能しない(GDPR の影響)
- 主流は「固定メール認証」「ファイル認証」「DNS 認証」の 3 方式
- 状況に応じて最適な認証方式を選択するのがおすすめ
📋 ドメイン認証の主な方式
| 認証方式 | 概要 | 難易度 |
|---|---|---|
| 固定メール認証 | ドメインに紐づく特定のメールアドレス(admin@ 等)で認証 |
★☆☆ |
| ファイル認証(HTTP-01) | Web サーバに認証用ファイルを配置して認証 | ★★☆ |
| DNS 認証(DNS-01) | DNS の TXT レコードに認証用文字列を追加 | ★★☆ |
| Whois メール認証(参考) | Whois 情報のメールアドレスで認証 | ― 現在はほぼ機能しない |
🔍 GDPR 施行と Whois メール認証の変化
2018 年 5 月 25 日に EU 圏で施行された GDPR(General Data Protection Regulation:一般データ保護規則)により、ドメインの Whois 情報からメールアドレスを取得することが制限されました。
| 時期 | 状況 |
|---|---|
| 2018 年 5 月以前 | Whois 情報のメールアドレスで認証可能 |
| 2018 年 5 月以降 | EU 圏のドメインで Whois 情報が非公開化 |
| 2019 年〜 | 多くのレジストラが世界中のドメインで Whois 情報を匿名化 |
| 現在 | 大半のドメインで Whois メール認証は利用不可 |
レジストラ・TLD によっては Whois 情報が引き続き取得可能な場合もありますが、2026 年現在、Whois メール認証に依存した申請は推奨しません。他の認証方式をあらかじめ準備しておくと、スムーズに証明書を取得できます。
📧 固定メールアドレス認証
ドメインに紐づく以下のいずれかのメールアドレスで認証します。事前にメールアドレスを作成しておく必要があります。
申請コモンネームが example.com の場合の対応メールアドレス
admin@example.comadministrator@example.comhostmaster@example.compostmaster@example.comwebmaster@example.com
これらは「RFC 2142」で定められた管理用メールアドレスです。お使いのメールサーバまたはレンタルメールサービスで、上記のいずれかを申請時に受信可能な状態にしてください。サーバ証明書の認証メールを受信したら、メール本文の URL から認証手続きを行います。
サブドメインの場合
コモンネームが www.example.com や blog.example.com の場合、認証メールはサブドメインではなく親ドメイン(example.com)のメールアドレス宛に送信されます。
📁 ファイル認証(HTTP-01)
Web サーバの特定のパスに認証用ファイルを配置することで、ドメイン所有を確認します。
仕組み
-
認証ファイルが当社から提供
申請時に指定の認証用ファイルを当社からお送りします。
-
サーバの特定パスに配置
https://example.com/.well-known/pki-validation/配下に認証用ファイルを配置します。 -
認証局のクローラーが取得
認証局が外部からファイルにアクセスし、内容を検証します。
-
認証完了 → 証明書発行
検証が通れば、証明書が発行されます。
ファイル認証では、www あり/なしのリダイレクト設定が認証エラーの原因になることがあります。詳しくは ファイル認証で証明書が発行されない場合 をご参照ください。
🌐 DNS 認証(DNS-01)
DNS の TXT レコードに認証用文字列を追加することで、ドメイン所有を確認します。
仕組み
-
認証用 TXT レコード値を当社から提供
申請時に追加すべき TXT レコード名と値を当社からお送りします。
-
DNS に TXT レコードを追加
例:
_dnsauth.example.com TXT "認証用ハッシュ値" -
認証局が DNS を検証
認証局が外部から DNS を引き、TXT レコードの内容を確認します。
-
認証完了 → 証明書発行
検証が通れば、証明書が発行されます。
- Web サーバへの認証ファイル配置が不要
- ファイアウォール・WAF・リダイレクトの影響を受けない
- ワイルドカード証明書(
*.example.com)では必須 - サーバ未構築でも認証可能
📊 認証方式の比較と選び方
| 状況 | 推奨認証方式 |
|---|---|
| 申請ドメインの管理用メールが受信できる | 固定メール認証(admin@ 等) |
| Web サーバを管理している | ファイル認証(HTTP-01) |
| DNS を管理している | DNS 認証(DNS-01)(おすすめ) |
| ワイルドカード証明書を取得 | DNS 認証(DNS-01)(必須) |
| 本番サイトでリダイレクト設定がある | DNS 認証(DNS-01)(干渉を受けない) |
| サーバが未構築 | DNS 認証 または 固定メール認証 |
🤖 47 日ルール時代は ACME 自動認証
2029 年からの 47 日ルール時代では、年に 8 回程度の認証手続きが発生します。毎回手動で認証ファイル配置や DNS TXT レコード追加を行うのは現実的ではありません。
ACME プロトコルでは、認証手続きを含むすべての工程がサーバ上で自動化されます。DNS 認証も、Cloudflare・Route 53 などの主要 DNS プロバイダ API と連携して自動実行可能です。
当グループ運営の FujiSSL なら、業界稀少の OV ACME 対応で法人サイトの認証作業も完全自動化できます。
💡 関連するご質問
| ご質問 | 対応 |
|---|---|
| ファイル認証で認証できない | こちらをご参照ください |
| DNS 認証の TXT レコードはどこに追加? | コモンネームの DNS ゾーンに追加(レジストラ・DNS プロバイダ管理画面) |
| 固定メール認証で他のアドレスを使いたい | 業界ルール上、上記 5 つのアドレスのみ利用可能 |
| ワイルドカード証明書はどの認証? | DNS 認証のみ可能(業界ルール) |
| 認証方式を変更したい | 申請をキャンセルし、新しい CSR で再申請してください |
| 承認したのに発行されない | こちらをご参照ください |