こんにちは。植松です。
題名の通り、ACMにて発行できるパブリック証明書の検証方法が変わります。
ACMとは
ACM(AWS Certificate Manager)とは、AWS内でSSL証明書の発行や発行したSSL証明書の自動更新ができるサービスです。
ACMに登録済みの証明書をALBやCloudFrontにアタッチする使い方が一般的です。
変更点
2024 年 6 月以降、ACM は WHOIS 連絡先アドレスによる新規 E メールの検証をサポートしなくなります。既存の証明書については、2024 年 10 月以降、ACM はドメインの WHOIS 連絡先アドレスに更新通知を送信しません。ACM は引き続き、リクエストされたドメインの 5 つの共通システムアドレスに検証 E メールを送信します。詳細については、「E メール検証済み証明書の WHOIS AWS Certificate Manager 検索を中止します」を参照してください。
https://docs.aws.amazon.com/ja_jp/acm/latest/userguide/email-validation.html
現状はACMにて証明書の発行を行う際に正当性を確認する方法として、Eメール検証かDNS検証どちらかを行う必要があります。
今回の変更点は、Eメール検証の仕様が変わりますよ。というものです。
Eメール検証とは
Whoisに登録済みのメールアドレス+5つのシステムアドレスへAWSからメールが送られてくるので、内容を確認し、承認する方法。
DNSの登録が不要なので、手軽に検証が可能。
デメリットとしては、証明書の更新手続きを更新の度に行う必要がある。
(証明書の有効期限が残り 45 日になった時にメールで送信される検証リンクをクリックして、毎年更新する)
DNS検証とは
ドメイン所有権の確認をAWSが発行するCNAMEレコードを登録することによって行う方法。
CNAMEレコードを登録する手間がありますが、一度承認されれば証明書は自動的に更新されるので管理の手間はかからない。
仕様変更により、どう変わるのか
Eメール検証の際、検証を承認できるメールアドレスが以下のシステムアドレスだけに変わります。
※your_domain_nameは登録するドメインが入ります。
- administrator@your_domain_name
- hostmaster@your_domain_name
- postmaster@your_domain_name
- webmaster@your_domain_name
- admin@your_domain_name
Whoisに記載されているメールアドレスに送らなくなるのは、検証の成功率が低いからのようです。
どうすればよいか
長期的にみたら、DNS検証を行うほうがよいです。AWSもそちらを推奨しています。
ただ、Eメール検証にてすでに登録・運用している証明書の検証方法を切り替えることはできないので、
その場合は新しく証明書を発行(必要に応じてALBやCloudFrontにアタッチしている証明書を差し替えも)することになります。
DNS検証の場合注意点として、ACM証明書発行からDNSでの検証まで72時間以内に作業を行う必要がありますので、
DNSの管理が自分ではない場合、事前に調整が必要になってきます。