Skip to main content

ドメイン名でのアンダースコアの使用の廃止

業界では、パブリックSSL/TLSサーバ証明書のドメイン名でのアンダースコアの使用が廃止されることになっています。

CA/Browser Forumの「Ballot SC12 Sunset of Underscores in DNSNames」(DNS名でのアンダースコアの使用停止)が可決されたことにより、業界ではパブリックSSL/TLSサーバ証明書のドメイン名でのアンダースコア(「_」)の使用廃止が進められています。アンダースコアが含まれる既存のデジサート証明書は、2019年1月14日をもって失効されます。

このBallot SC12は、プライベートSSL/TLSサーバ証明書、またはコードサイニングやクライアントなどのその他のタイプの電子証明書には影響しません

Ballot SC12には、アンダースコアをもう少し長い期間使用しなければならない差し迫った必要がある利用者を補助するための重要な条項とともに、アンダースコアの廃止に関する重要な日付がいくつか定められています。業界標準では、アンダースコア(「_」)が含まれるドメイン名のパブリックSSL/TLSサーバ証明書によるセキュア化を2019年5月1日までに停止することが義務付けられています。

条項:30日間のアンダースコア証明書

期間限定で、CAはアンダースコア(「_」)が含まれるパブリックSSL/TLSサーバ証明書の発行を許可されています。この条項は、恒久的な移行ソリューションを探す時間を提供するためのものです。

ただし、Ballot SC12には、これらの証明書の準拠を確実にするための具体的なガイドラインが設けられています。

  • ドメイン名にアンダースコアが含まれるパブリックSSL/TLSサーバ証明書の有効期限が最大30日であること。

  • ドメイン名にアンダースコアが含まれるすべてのパブリックSSL/TLSサーバ証明書が2019年4月1日までに発行されること。

  • ドメイン名にアンダースコアが含まれるパブリックSSL/TLSサーバ証明書の有効期限日が2019年4月31日当日またはそれ以前に設定されていること。

  • ベースドメインにアンダースコアを使用しないこと。

    「example_domain.com」は許可されません

  • 左端のドメインラベルにアンダースコアを使用しないこと。

    「_example.domain.com」および「example_domain.example.com」は許可されません

ワイルドカード証明書に関する注意: 左端のドメインラベルにアンダースコアが含まれている場合は、代替案としてワイルドカード証明書を使用してください。*.example.comのワイルドカード証明書は、example_domain.example.comと_example.domain.example.comをセキュア化します。

タイムラインと日付別の情報については以下を参照してください。

アンダースコア修正オプション

推奨されるソリューションは、アンダースコアが含まれるホスト名(FQDN)を変更し、証明書を交換することです。ホスト名の変更が不可能である場合は、プライベート証明書の使用が可能です。状況によっては、ワイルドカード証明書を使用してドメイン全体をセキュア化することもできます。詳細については、「FQDNでアンダースコアが使用できなくなりました」を参照してください。