AWS ACM(AWS Certificate Manager)で証明書の検証方法についてWHOISに設定されているメールアドレスにドメイン検証メールの配信を停止するようです。
影響と対処方法を調べたので記事にします。
AWS ACMがWHOISの認証メールを送付しなくなる
AWS ACMで証明書の認証方法をEメール検証にしている場合、2024/6以降はドメインのwhoisのメールアドレスにドメイン検証メールが届かなくなります。
以下AWS公式ドキュメントにその旨が記載されるようになりました。
2024 年 6 月以降、ACM は WHOIS 連絡先アドレスによる新しい E メール検証をサポートしません。既存の証明書については、2024 年 10 月以降、ACM はドメインの WHOIS 連絡先アドレスに更新通知を送信しません。ACM は、リクエストされたドメインの 5 つの一般的なシステムアドレスに引き続き検証 E メールを送信します。詳細については、「 AWS Certificate Managerは E メール検証済み証明書の WHOIS 検索を中止します」を参照してください。
https://docs.aws.amazon.com/ja_jp/acm/latest/userguide/email-validation.html
証明書のEメール検証を続ける場合はリクエストされたドメインの 5 つの一般的なシステムアドレス宛に送付されるメールを監視しておく必要があります。(5 つの一般的なシステムアドレスについては後の章で詳しく説明します。)
AWS公式ブログによるとこのWHOISのメールアドレスに配信しなくなる変更の理由は検証の成功率の低さから来るようです。
WHOIS ルックアップの成功率が 5% であるため、約 95% の確率で証明書の更新に関する検証電子メールを受信できない可能性があります。証明書を更新するときにドメイン所有権を検証するための一貫したメカニズムを提供するために、ACM は、この投稿の背景セクションでリストした 5 つの一般的なシステム アドレスにのみ検証電子メールを送信します。
https://aws.amazon.com/jp/blogs/security/aws-certificate-manager-will-discontinue-whois-lookup-for-email-validated-certificates/
WHOISに登録されたメールアドレスとは?(検証メールが届かなくなる宛先)
例えばRoute53で払い出した証明書である場合、WHOISの連絡先はRoute53上で確認できる以下のメールアドレスです。
Eメール検証を選択している場合で特別な監視を行っていない場合、このWHOISでACM証明書の検証を行っている方は多いのではないでしょうか?
- 登録者の連絡先
- 管理者の連絡先
- 技術者の連絡先
ここに設定されているメールアドレスには新規の証明書は2024年6月、既存の証明書は2024年10月以降に更新メールが送付されなくなります。
5つの共通システムアドレスとは?(引き続き検証メールが届く宛先)
ドメイン名が付与された5つのメールアドレスです。こちらのアドレスは特別な処理(MXレコードの登録)を行っていないと受信できていないかと思います。
- admin@ドメイン名
- administrator@ドメイン名
- hostmaster@ドメイン名
- webmaster@ドメイン名
- postmaster@ドメイン名
当サイトのドメインであればsal-blog.comなのでadmin@sal-blog.comなどのメールアドレスです。こちらのメールを受信する場合、ドメインを登録しているDNSサーバにMXレコードを登録してメールを受信できるようにする必要があります。このMXレコードはAWS SESを使用することもできます。SESのメール受信機能を使うことになります。
SESのメール受信機能の設定方法は以下の記事でご紹介しているのでご参考にしてください。
以下MXレコードの設定について公式ドキュメントに述べられています。
MX レコードは、ドメインの E メールメッセージを受け取る 1 つ以上のメールサーバーを指定するドメインネームシステム (DNS) データベース内のリソースレコードです。MX レコードが見つからないか、設定が間違っている場合、E メールは「E メール検証」で指定されている 5 つの一般的なシステム管理者のいずれのアドレスにも送信できません。見つからないか設定が間違っている MX レコードを修正し、E メールを再送信するか、証明書を再度リクエストしてみてください。
https://docs.aws.amazon.com/ja_jp/acm/latest/userguide/troubleshooting-email-validation.html
AWS推奨の移行方法
AWSはACM証明書のEメール検証を推奨しておりません。DNS検証を推奨しています。これを機に移行してしまうのが良いと思います。DNS検証の場合、証明書の有効期限は自動で延長されるので運用の手間も省けます。
ただし、E メール検証を使用して証明書を作成した後は、DNS による検証に切り替えることはできません。新たにDNS検証で証明書を作成しなおす必要があります。
DNS検証を行う場合、ACM証明書作成時にCNAMEレコードが払い出されます。このCNAMEレコードをドメインを登録しているDNSサーバに登録すれば検証ができます。
ACM証明書発行からDNSでの検証まで72時間以内に実施する必要があります。しかし、AWSアカウントと証明書ドメインが同一である場合、払い出されるCNAMEレコードも同になります。そのため、事前にCNAMEレコードを登録しておいて、後からACM証明書を作成しても即座に証明書は検証済みとなりました。
無停止でEメール検証からDNS検証に移行できるか?
Eメール検証の証明書をお使いの場合でも同じドメインでDNS検証の証明書を作成することができます。
あらかじめDNS検証の証明書を作成しておき、付け替えてしまえば無停止でダウンタイムなしに証明書の付け替えができるようです。
ACM証明書をEメール検証で使い続ける方法
冒頭述べた通り、ドメインを登録しているDNSサーバにMXレコードを登録しておくと5つの共通システムアドレス(admin@, administrator@, hostmaster@, webmaster@, postmaster@)に送信されるメールアドレスを受信できます。
このメールサーバにはAWS SESを用いることができます。以下の記事で詳細な手順を紹介しています。
登録するべきMXレコードは以下の公式ドキュメントに記載されています。
| リージョン | E メール受信エンドポイント |
|---|---|
| 米国東部(バージニア北部) | inbound-smtp.us-east-1.amazonaws.com |
| 米国西部 (オレゴン) | inbound-smtp.us-west-2.amazonaws.com |
| 欧州 (アイルランド) | inbound-smtp.eu-west-1.amazonaws.com |
| アジアパシフィック (東京) | inbound-smtp.ap-northeast-1.amazonaws.com |
SES受信を用いる場合は以下の選択肢から配信方法を選択できます。
筆者はS3バケットへの配信を選択したところ、Eメール検証のためのリンクが確認できました。
まとめ
- AWS ACMが証明書の検証方法を変更し、WHOISに登録されたメールアドレスへの検証メールの送信を停止する。
- ACMのEメール検証を引き続き利用する場合は特定の共通システムアドレス(admin@、administrator@、hostmaster@、webmaster@、postmaster@)に送信されるメールを監視する必要がある。その際にSESを使用することができる。
- AWSはDNS検証を推奨し、Eメール検証を使用している場合は移行を促している。
- Eメール検証からDNS検証への移行が可能であり、無停止での切り替えも可能。
以上です。
システムエンジニア
AWSを中心としたクラウド案件に携わっています。
IoTシステムのバックエンド開発、Datadogを用いた監視開発など経験があります。
IT資格マニアでいろいろ取得しています。
AWS認定:SAP, DOP, SAA, DVA, SOA, CLF
Azure認定:AZ-104, AZ-300
ITIL Foundation
Oracle Master Bronze (DBA)
Oracle Master Silver (SQL)
Oracle Java Silver SE
■略歴
理系の大学院を卒業
IT企業に就職
AWSのシステム導入のプロジェクトを担当
