.well-known バリデーション・フォルダー
Lisa Andersonシェア
Trustico® のSSL Certificate を導入する場合、.well-known フォルダを理解することが Domain Validation に不可欠です。
この特別なディレクトリは、Trustico®SSL 証明書をインストールする際に、ドメインの所有権を証明する重要な役割を果たします。
Trustico®とSectigo®SSL 証明書のリーディング・プロバイダーとして、SSL 証明書の導入が成功するよう、検証プロセスを通じてお客様をご案内いたします。
.well-known フォルダーとは何ですか?
.well-knownフォルダは、SSL 証明書の検証ファイルやその他のセキュリティ関連コンテンツを格納するウェブサーバの標準ディレクトリです。
Trustico®SSL 証明書を購入する際、検証方法の一つとして、このフォルダに一意の検証ファイルを置き、ドメイン管理を証明します。
このフォルダーはRFC 5785の標準に従い、Sectigo®のような証明書がドメインの所有権を検証するためにアクセスできる普遍的な場所として機能します。
.well-knownフォルダー方式は、Trustico®がSSL Certificateのお客様に提供するいくつかの検証オプションの一つです。
.well-knownディレクトリは、インターネット上でよく知られているリソースのための一貫した標準化された場所を作成するために設立されました。
このディレクトリは、SSL Certificate の検証以外にも、セキュリティポリシーファイル、認証エンドポイント、サービスディスカバリ情報などのセキュリティ機能を果たします。
SSL 証明書検証の場合、このフォルダには通常「pki-validation」というサブディレクトリがあり、検証ファイルが置かれます。
.well-known フォルダーを使用したドメイン検証の仕組み
.well-known フォルダを使用する Domain Validation プロセスは、所有権を安全に検証するために設計された特定のプロトコルに従います。
Trustico®からSSL 証明書を注文すると、当社のシステムは注文に固有のランダムな文字を含む一意の検証トークンを生成します。このトークンは、SSL 証明書を要求する人がドメインの管理アクセス権を持っていることを暗号学的に証明する役割を果たします。
検証中、認証局(CA)は、お客様の .well-known ディレクトリ内の事前に定義されたパスから検証ファイルを取得しようとします。
このパスは通常、「/.well-known/pki-validation/[ファイル名]」という形式をとり、ファイル名にはSSL Certificate の注文時に提供された一意のトークンが含まれます。
この検証方法は、ウェブサーバのファイルシステムに直接アクセスする必要があり、正当なドメイン管理者のみが所有する必要があるため、非常に安全であると考えられています。
電子メールベースの検証方法とは異なり、.well-known フォルダ方式は、傍受やソーシャル・エンジニアリング攻撃の影響を受けにくいため、多くのセキュリティ意識の高い組織に好まれる検証方法となっています。
.well-known フォルダの作成
Trustico®の検証ガイドラインに従えば、.well-knownフォルダの設定は簡単です。 まず、ウェブサイトのルートフォルダに「.well-known」という名前のディレクトリを作成します。 このディレクトリは、検証プロセスのためにHTTP/HTTPS からアクセスできる必要があります。
Apache サーバーの場合は、.well-known ディレクトリへのアクセスを許可する設定になっていることを確認してください。nginx の場合は、特定のロケーションブロックを追加してアクセスを許可する必要があるかもしれません。 Trustico® テクニカルサポートでは、設定上の問題が発生した場合にサポートいたします。
Apacheサーバーでは、.htaccessファイルを変更して、.well-knownディレクトリにアクセスできるようにする必要があるかもしれません。 以下のディレクティブを追加することで、一般的なアクセスの問題を防ぐことができます:
Nginxサーバーの場合、サーバー設定に特定のロケーションブロックを追加することで、検証ファイルへの適切なアクセスを保証します:
location ~ /.well-known { allow all; auth_basic off; }.
メインの .well-known ディレクトリを作成した後、その中に「pki-validation」サブディレクトリも作成する必要があります。この特定のサブディレクトリは、Trustico®SSL 証明書を発行する認証局を含むほとんどの認証局が検証ファイルを探す場所です。
完全なパス構造は、"domain.com/.well-known/pki-validation/"でなければなりません。
よくある設定の問題
.well-knownフォルダを介した検証の成功を妨げるいくつかの問題があります。これらの問題を理解することで、Trustico®SSL 証明書を使用する際に、SSL 証明書をスムーズに発行することができます。
セキュリティ・プラグインや Web アプリケーション・ファイアウォールによるアクセス制限により、Certificate Authority の検証試行がブロックされることがあります。
ModSecurity、Wordfence、Sucuri などのセキュリティプラグインを使用している場合は、.well-known ディレクトリに例外を設定して、検証要求を許可する必要があるかもしれません。
リダイレクトも検証を妨害する可能性があります。 あなたのウェブサイトがすべてのトラフィックをHTTPからHTTPSへ、またはWWW以外のバージョンからWWWバージョンへ(またはその逆)自動的にリダイレクトしている場合、検証システムはこれらのリダイレクトに正しく従えない可能性があります。
検証の失敗を防ぐために、ドメインのすべてのバージョンで.well-knownディレクトリにアクセスできるようにしてください。
Cloudflare、Akamai、Fastlyなどのコンテンツ・デリバリー・ネットワーク(CDN)は、.well-knownディレクトリへのアクセスをキャッシュまたはブロックすることがあります。 CDNを使用している場合は、一時的に一時停止するか、特定のルールを作成して、検証リクエストが干渉されずにオリジンサーバーに到達するようにする必要があります。
ファイルのパーミッションの問題は、もう1つの一般的な障害です。 検証ファイルとディレクトリは、Webサーバープロセスによって読み取り可能でなければなりません。
適切なパーミッション(通常、ディレクトリは 755、ファイルは 644)を設定することで、Trustico®SSL 証明書のドメイン所有権を検証する際に、認証局が検証ファイルにアクセスできるようになります。
ドメイン検証プロセス
Trustico®SSL 証明書の検証に .well-known フォルダーを使用する場合、固有の検証ファイルを受け取ります。SSL 証明書の注文プロセスで提供される指示に従って、このファイルを .well-known フォルダーに配置してください。
当社の検証システムは、ドメイン管理を検証するためにこのファイルを自動的にチェックします。 検証が完了すると、Trustico®SSL 証明書は速やかに発行されます。 この合理化されたプロセスにより、SSL 証明書のセキュリティが迅速に展開されます。
検証ファイルが適切に配置されると、検証プロセスは通常数分以内に完了します。当社の自動化されたシステムは、検証ファイルの存在を継続的に確認し、検証に成功すると、直ちにSSL Certificate の発行に進みます。
この効率性により、企業はSSL Certificate のセキュリティを最小限の遅延で導入することができます。
Multi-DomainSSL 証明書または WildcardSSL 証明書の場合、複数のドメインまたはベースドメインの検証を行う必要があります。
検証を必要とする各ドメインにはそれぞれ固有の検証ファイルがあり、各ドメインの .well-known ディレクトリに配置する必要がある。
SSL 証明書オプション
Trustico® は、あらゆるセキュリティニーズに対応するSSL 証明書を包括的に提供しています。
Trustico®とSectigo®の両ブランドのDomain Validation (DV), Organization Validation (OV), Extended Validation (EV)SSL 証明書をご用意しております。
SSL 証明書の各タイプは、.well-known フォルダーの検証方法をサポートしており、当社の全製品でドメイン検証を一貫しています。 この標準化されたアプローチにより、お客様は検証プロセスを簡素化することができます。
Domain Validation (DV)SSL Trustico®のSSL証明書は基本的な暗号化を提供し、ブログ、情報サイト、個人プロジェクトに最適です。これらのSSL証明書はドメインの所有権のみを検証し、.well-knownフォルダーの検証方法を使用して通常数分で発行できます。
Organization Validation (OV)SSL 証明書は、ビジネス文書の審査など、より広範な検証を必要とします。 ドメインの管理部分では .well-known フォルダ方式を採用していますが、さらなる検証ステップにより、お客様の組織の正当性を検証します。これらのSSL 証明書は、ビジネス・ウェブサイトやeコマース・プラットフォームに最適です。
Extended Validation (EV)SSL 証明書は、最高レベルの検証を行う証明書です。ドメインの検証は .well-known フォルダを使用しますが、さらに広範なビジネス検証を必要とします。これらのプレミアムSSL 証明書は、金融機関、医療機関、その他ビジターに最高レベルの信頼を示したいビジネスに最適です。
別の検証方法
.well-knownフォルダはTrustico®SSL 証明書の優れた検証方法ですが、サーバー構成やホスティング環境によっては、この方法が困難な場合もあることを理解しています。
Trustico®は様々な技術的要件に対応するため、いくつかの代替検証方法を提供しています。
電子メールによる検証では、ドメインに関連する標準的な管理者アドレス(admin@、webmaster@など)に送信される電子メールを通じてドメインの所有権を検証することができます。 この方法は、サーバーのファイルシステムへのアクセスが制限されている場合や、ファイルシステムの直接操作が制限されているホスティングコントロールパネルで作業する場合に便利です。
DNS検証は、ドメインのDNS設定に特定のTXTレコードを追加することを要求することで、別の選択肢を提供します。 この方法は、ワイルドカードSSL 証明書を検証する場合や、ファイルシステムへのアクセスが制限されているホスティング環境で作業する場合に特に有用です。
この方法は、.well-known フォルダの方法と同じ検証目的ですが、特定のディレクトリ構造を作成することが困難な特定のホスティング環境では、より簡単に実装できる場合があります。
実装のベストプラクティス
.well-known フォルダー方式でSSL 証明書を実装する場合は、Trustico® が推奨する以下のプラクティスに従ってください。
フォルダのパーミッションが適切に設定されていることを確認し、サーバーのセキュリティを維持しつつ、一般からのアクセスを許可する。SSL 証明書が完全に発行されるまで、検証ファイルを適切な場所に保管する。
.well-knownフォルダの定期的なメンテナンスにより、SSL Certificateの更新をスムーズに行うことができます。Trustico®の自動更新通知により、SSL Certificateのライフサイクルを効率的に管理することができます。
.well-knownディレクトリを検証後に削除するのではなく、恒久的な.well-knownディレクトリ構造を作成することを検討してください。この方法によ り、将来のSSL 証明書の更新が簡素化され、このディレクトリを利用する他の標準化されたセキュリティ実装が可能になります。
多くの組織では、標準的な Web サーバ構成の一部としてこのディレクトリを維持している。
この文書化は、SSL Certificate の更新時や、チームメンバー間で責任を移行する際に非常に有用である。適切な文書化により、セキュリティ対策の継続性が確保され、SSL Certificate の更新期間中に検証に関する問題が発生するのを防ぐことができる。
.well-known ディレクトリの監視を実施し、不正な変更またはアクセスを検出する。このディレクトリは、一般にアクセ ス可能なように設計されているが、アクセスパターンを監視することで、潜在的なセキュリティ問題または検証上の問 題がSSL 証明書のステータスに影響を及ぼす前に特定することができる。
テクニカルサポートとリソース
Trustico® は、.well-known フォルダーに関するアドバイスや情報を含め、SSL Certificate の導入のあらゆる側面について包括的な技術サポートを提供しています。
当社のチームは、サーバー設定、検証上の問題、SSL Certificate のインストールに関するアドバイスや指示を提供します。
セキュリティに関する考慮事項
.well-knownフォルダーは検証のためにアクセス可能でなければなりませんが、他の機密ファイルを保護するために適切なセキュリティ対策を実施してください。 Trustico®は、特定のディレクトリパーミッションを使用し、ウェブサーバーのセキュリティベストプラクティスに従うことを推奨します。
.well-knownディレクトリへの不必要なアクセスを制限する一方で、Certificate Authority (CA)検証システムを特別に許可するアクセス制御の実装を検討してください。 これは、既知のCertificate Authority検証サーバを除外するIPベースの制限や、正当な検証の試行を許可する一方で不正使用を防止するレート制限によって達成することができます。
.well-known ディレクトリに予期せぬファイルがないか監視する。攻撃者は、この標準化された場所を悪意あるコンテンツの格納場所として利用しようとすることがあるからである。 このディレクトリを定期的に監査することで、正当な検証ファイルやその他の許可されたコンテンツのみが格納されていることを確認する。
.well-known ディレクトリへのすべてのアクセスについて適切なロギングを実施し、検証の試行やその他のインタラクションの監査証跡を維持する。 これらのログは、検証の問題のトラブルシューティングやセキュリティ監視の目的で有用である。
SSL 証明書検証の自動化
複数のドメインを管理する組織や、SSL 証明書の頻繁な更新を必要とする組織では、検証プロセスを自動化することで、管理オーバーヘッドを大幅に削減することができる。
多くの組織は、.well-known ディレクトリに必要な検証ファイルを自動的に実装するカスタムスクリプトを開発しています。
SSL 証明書管理プラットフォームは、SSL 証明書のライフサイクルを集中管理することで、検証及び更新プロセスをさらに簡素化することができます。これらのプラットフォームは、.well-known フォルダの管理を含む検証プロセスを自動化することができ、人手を介することなくタイムリーな更新を保証します。
Trustico®SSL 証明書を始めるにあたって
.well-known フォルダの検証方法を使用したSSL 証明書の導入は、お客様のニーズに適した SSL 証明書タイプを選択することから始まります。
Trustico®SSL 証明書をご注文後、.well-known ディレクトリ構造の作成と検証ファイルの配置に関する詳細な説明をお送りします。
お客様のセキュリティニーズや、.well-known フォルダー検証方式を使用したSSL Certificate の導入に関する詳細については、team までお問い合わせください。お客様の組織に最適なSSL Certificate ソリューションの選択と導入をお手伝いいたします。
