DigiCert より、証明書発行プロセスに関する変更の通知がありました。
その内容の覚え書きと、DNSSEC validation について整理しておきます。
DigiCert からの通知内容(要約)
2026年2月24日からの業界規制により、
DNSSEC が有効化されているドメインについては、 証明書発行時に DNSSEC validation(検証)が必須化されます。
これは、
- ドメイン所有確認(DCV)
- CAAチェック
のセキュリティ強化の一環として導入されるものです。
DNSSEC を使っていない場合
DNSSEC が有効になっていないドメインは影響を受けません。 ただし、自社ドメインで DNSSEC が有効化されていないかを念のため確認しておくことが推奨されています。
DNSSEC を使っている場合
2026年2月24日以降は、DNSSEC の設定にエラーがある場合には証明書は発行されなくなります。 現在は設定に不備があっても証明書発行が可能なケースがありますが、施行日以降は発行不可となります。
(要約ここまで)
DNSSEC とは何か?
一言でいうと、DNSSEC(Domain Name System Security Extensions) とは、DNS の応答が本物であることを証明する仕組みです。
DNS の問題点
通常の DNS には、
「その返答が本物かどうかを確認する手段がない」
という問題があります。そのため、
- キャッシュポイズニング攻撃
- なりすまし DNS サーバー
- フィッシングサイトへの誘導
といったリスクが存在します。
DNSSEC の役割
DNSSEC は、DNS 応答にデジタル署名を付与することで、
- 改ざんされていない
- 正規の DNS サーバーからの応答である
ことを検証可能にします。
仕組み(イメージ)
- DNS レコードに電子署名(RRSIG)が付与される
- 署名は公開鍵(DNSKEY)で検証できる
- ルート DNS から始まる「信頼の連鎖(Chain of Trust)」により正当性を確認する
DNSSEC で防げるもの
- DNS 応答の改ざん
- なりすまし
- キャッシュポイズニング
注意点
DNSSEC は、
- 通信を暗号化するものではない(HTTPSとは別)
- ドメイン情報の正当性を保証する仕組み
です。
AWS Route 53 運用者としての注意点
Route 53 では DNSSEC を有効化することが可能ですが、
- KSK(Key Signing Key)
- ZSK(Zone Signing Key)
- DS レコード(レジストラ側)
の管理が必要になります。
DNSSEC は、
Route 53 で有効化 + レジストラに DS レコード登録
が揃って初めて完全に有効化されます。
設定に不整合があると、名前解決不能(SERVFAIL)になるリスクもあるため注意が必要です。
今回の DigiCert の変更は、
DNSSEC を有効にしているドメインについては、 証明書発行時にその署名状態も検証する
というものです。
Route 53 で DNSSEC が有効か確認する方法
① AWS コンソールで確認
- AWS コンソール → Route 53
- Hosted zones
- 対象ドメインを選択
- 「DNSSEC signing」タブを確認
| 表示状態 | 意味 |
|---|---|
| Enabled | DNSSEC 有効 |
| Disabled | DNSSEC 無効(影響なし) |
KSK や DS レコード情報が表示されていれば有効です。
② AWS CLI で確認
aws route53 get-dnssec \
--hosted-zone-id ZXXXXXXXXXXXXX
結果例:
{
"Status": {
"ServeSignature": "SIGNING"
}
}
| 値 | 意味 |
|---|---|
| SIGNING | 有効 |
| NOT_SIGNING | 無効 |
③ 外部から確認
dig +dnssec example.com
以下が含まれていれば署名あり:
- RRSIG
- DNSKEY
さらに:
dig example.com DS
DS レコードが返れば、親ゾーンにも登録済みです。
まとめ
- 2026年2月24日以降、DNSSEC有効ドメインは validation 必須
- 設定不備があると証明書発行不可
- DNSSEC未使用ドメインは影響なし
- Route 53 利用者は事前確認を推奨