// シス担のミカタ
TLS・PKI・証明書

DV(ドメイン認証) どめいんにんしょう

SSL証明書ドメイン認証TLS認証局Let's EncryptPKI
DVについて教えて

簡単に言うとこんな感じ!

DVは「ドメイン認証(Domain Validation)」の略で、「このドメインの持ち主が本当にあなたか?」だけを確認してくれるSSL証明書だよ。身分証の代わりに「家の鍵を持ってるか」だけチェックする感じ。手軽で無料でもらえるけど、会社の実在確認まではしてくれないんだ!

DV(ドメイン認証)とは

DV(Domain Validation) とは、SSL/TLS証明書の発行審査レベルの一種で、ドメイン名の所有者であることだけを確認して発行される証明書です。認証局(CA)がメールや特定ファイルの設置・DNS設定などの方法で「このドメインを管理しているのは申請者本人か」を確認し、合格すれば数分〜数時間で証明書が発行されます。

証明書には「通信が暗号化されている(HTTPS)」という保証は付きますが、運営者の法人名や所在地などの実在確認は行われません。個人ブログ・小規模サイト・社内ツールなど、とにかく手軽にHTTPS化したい場合に広く使われています。特に Let’s Encrypt の登場で無料・自動取得が可能になり、世界中のWebサイトに急速に普及しました。

SSL証明書には審査レベルが3段階あり、DVはそのうち最もシンプルなレベルに位置します。企業の実在確認まで行う OV(Organization Validation) や、厳格な審査でアドレスバーに組織名が表示される EV(Extended Validation) と比べると、信頼性の根拠はドメイン所有のみという点に注意が必要です。

DV証明書の仕組みと認証方法

認証局は以下の3つの方法のうち1つ以上を使って、ドメイン所有者であることを確認します。

認証方式仕組み特徴
メール認証ドメインのWHOIS登録メールや admin@example.com などに確認メールを送信設定不要で手軽。ドメイン管理者向け
ファイル認証(HTTP-01)指定のURLに特定ファイルを設置してCAがアクセス確認サーバーへのアクセス権が必要
DNS認証(DNS-01)DNSレコードに特定の値を追加してCAが確認ワイルドカード証明書にも対応

覚え方:DV=「ドアの鍵だけ確認」

D(ドメイン)の V(Validation)=「ドアの Veronika(鍵)だけ確認!」と覚えると◎。家に入れる鍵を持っているか確認するけど、住人が本当にその人かまでは調べないイメージです。

DV証明書が向いているケース・向いていないケース

ケースDV向き?理由
個人ブログ・趣味サイト✅ 向いている手軽・無料で十分
社内ツール・開発環境✅ 向いている外部ユーザーへの信頼証明が不要
ECサイト(決済あり)⚠️ 要検討OV以上を推奨するケースあり
銀行・行政・大企業の公式サイト❌ 向いていない組織の実在証明が求められる

歴史と背景

  • 1994年頃 — SSL(Secure Sockets Layer)が登場。証明書発行は手動・有料が当たり前で、発行まで数日〜数週間かかることも
  • 2000年代 — 商用CAがDV証明書を低コストで提供開始。ただし自動化は進まず、数千〜数万円/年が相場
  • 2012年 — IETF で ACME プロトコルの議論が始まり、証明書取得の自動化への道が開かれる
  • 2015年Let’s Encrypt がベータ公開。無料・自動・オープンなDV証明書が誰でも取得可能になる
  • 2016年〜 — Googleが「HTTPSでないサイトは『保護されていない通信』と表示する」ポリシーを打ち出し、HTTPSの普及が爆発的に加速
  • 2018年 — Chrome68でHTTPサイト全体に「保護されていない通信」の警告表示。DVによるHTTPS化が事実上の標準に
  • 現在 — Let’s Encryptの発行証明書は世界で数億枚規模。DV証明書はWebのHTTPS化を支える基盤に

DV / OV / EV の違い

証明書の3つの審査レベルを比較します。発注・選定の際の判断基準として活用してください。

SSL証明書の審査レベル比較 DV Domain Validation OV Organization Validation EV Extended Validation 確認内容 発行速度 費用目安 主な用途 信頼レベル ドメイン所有のみ 数分〜数時間 無料〜数千円/年 個人・小規模サイト ★☆☆ 法人の実在確認あり 数日 数千〜数万円/年 企業の公式サイト ★★☆ 厳格な法人審査 数日〜数週間 数万〜十数万円/年 金融・EC・行政 ★★★

フィッシング詐欺とDVの注意点

DVはドメイン所有しか確認しないため、フィッシング詐欺サイトでもDV証明書は取得できます。「鍵マークがついている=安全なサイト」という思い込みは危険です。鍵マークは「通信が暗号化されている」ことを示すだけで、「サイト運営者が信頼できる」ことの保証ではありません。決済情報を入力するサイトではURLをよく確認しましょう。

関連する規格・RFC

規格・RFC番号内容
RFC 8555ACME(自動証明書管理環境)プロトコルの標準仕様。Let’s Encryptが実装の代表例
CA/Browser Forum Baseline RequirementsDV/OV/EV証明書の審査基準を定めた業界ガイドライン
RFC 5280X.509証明書とCRL(失効リスト)のプロファイル仕様
RFC 6962Certificate Transparency(CT)ログの仕様。不正発行の検知に使われる

関連用語

  • OV(組織認証) — 法人の実在確認まで行うDVの一段上の証明書
  • EV(拡張認証) — 最も厳格な審査を経るSSL証明書。金融・EC向け
  • 認証局(CA) — 証明書を発行する第三者機関
  • Let’s Encrypt — DV証明書を無料・自動で発行するオープンなCA
  • ACME — 証明書の取得・更新を自動化するプロトコル
  • TLS — 通信を暗号化するプロトコル。SSL証明書はTLSで使われる