Fastly の TLS オプションを購入した場合、弊社パートナーの証明書認証局 (GlobalSign) は、要求されたドメインがお客様の管理の下にあるか、また弊社に対して、お客様に代わって証明書サービスのリクエストをする権限を与えているかを検証する必要があります。以下から選択していただくことが可能です:

DNS TXT レコードによる検証 (推奨)
Email による検証
URL による検証

ご利用される検証方法にかかわらず、TLS の購入手続きについては、TLS オプションに記載されている手順に従って下さい。

重要: CA/Browser Forum に採用された新たなセキュリティ基準により、TLS 証明書をリクエストする際にドメイン認証として利用するランダムな文字列の有効期限が30日間へと短縮されます。この変更は、共有証明書および証明書取得代行サービスを対象に、2020年5月25日から適用されます。

また、TLS1.2 向けの共有証明書の提供を2020年12月31で終了する予定です。新しい Fastly TLS のウェブインターフェイスおよび API は、共有証明書と同様の機能を提供します。当変更に関するお問い合わせは弊社のカスタマーサポートチーム fastlytlsupdates@fastly.com へご連絡ください。

DNS TXT レコードによる検証

弊社から各ドメインに対するゾーンオリジン ("@") に追加するための一意の DNS TXT レコードをお客様に提供します。TXT レコードの値は、各ドメインに追加される証明書により異なります。メタタグは次のうちのいずれかのフォーマットになります。（{META TAG} の箇所が証明書により異なります）:

@ IN TXT "globalsign-domain-verification={META TAG}"
@ IN TXT "_globalsign-domain-verification={META TAG}"

弊社は、上記にある適切な TXT レコードをお客様に提供いたします。TXT レコード追加方法についてはお客様のレジストラや DNS プロバイダーが提供されているドキュメントをご参照下さい。この TXT レコードは、他の TXT レコードとは完全に分離する必要があります。前方への追記や挿入、または後方への追記のレコードは、期待した動作をいたしません。

Email による検証

GlobalSign は、検証用 Email を送ることができる Email アドレスのリストを弊社に提供いたします。一般的にこれらの Email アドレスは、以下のものになります:

admin@example.com
administrator@example.com
hostmaster@example.com
postmaster@example.com
webmaster@example.com

サブドメインに対する証明書のご要望を頂いた場合には、上記アドレスそれぞれに対して @subdomain.example.com もご利用いただけます。 (例えば admin@subdomain.example.com)。

弊社は、送信可能な Email アドレスのリストをお客様に送信いたします。お客様は、どの Email アドレスが利用可能か、弊社にご連絡ください。その後、GlobalSign は、お客様が指定した Email アドレス宛に検証用のメールを送信いたします。お客様は、検証用メールを受信されましたら、メールの中にあるリンクをクリックしていただき、検証を完了するために指示に従ってください。

URL による検証

弊社は、お客様が追加しようとして要求されたドメイン、または Apex ドメインにおいて、ウェブページに明示的に追加していただく必要がある HTML タグを提供いたします。証明書を追加するドメインまたは Apex ドメインにおいて、URL として次のフォーマット http://<REQUESTED APEX OR SUBDOMAIN>/.well-known/pki-validation/gsdv.txt をご利用ください。メタタグは、({META TAG} のところは、証明書によって変更されますが)、次のうちの 1 つと似たフォーマットとなります:

<meta name="globalsign-domain-verification" content="{META TAG}" />
<meta name="_globalsign-domain-verification" content="{META TAG}" />

弊社は、上記にある適切なメタタグをお客様に提供いたします。このテキストファイルは、実際に要求されたドメインまたはルートドメインから配信して頂く必要があります。例えば、もしお客様がドメイン www.example.com を証明書に追加するのであれば、GlobalSign は、明示的に http://www.example.com または http://example.com に対して、検証手続きを実施している間にリクエストをいたします。検証用のタグは、上記 URL から返信されるコンテンツから配信されなければなりません。 GlobalSign は、リダイレクトに従ったり、ドメインにあるファイル、例えば、http://www.example.com/verify.html または、 http://www.example.com/index.html にリクエストすることはいたしません。

TLS domain 検証の支援について

お客様のオリジンサーバーに TLS サービスを絶え間なく提供するために、Fastly は、HTTP に基づく検証方式を利用して、自動的にドメインの再検証を実施いたします。検証は、定期的な間隔で、証明書を更新する前に自動的に発生し、お客様に、特に作業を求めたりいたしません。お客様が DNS を Fastly に向けていただいている限り、弊社は、お客様のサービスが中断する可能性をさけるため、 TLS 検証を支援させていただきます。

TLS 検証が不要な場合は、 support@fastly.com にご連絡ください。