証明書透明性モニタリング
証明書透明性 (CT) モニタリングは、ドメインに発行されたSSL/TLS証明書を再確認することを可能にすることで、セキュリティを向上させることを目的としたオプトイン機能のパブリックベータ版です。
CTモニタリングアラートは、Cloudflareプロセスによってのみトリガーされるのではなく、監視対象のドメインをカバーする証明書が証明書機関 (CA)によって発行され、公開CTログに追加されるたびにトリガーされます。この仕組みについては、紹介ブログ記事 ↗で詳しく学ぶことができます。
| Free | Pro | Business | Enterprise | |
|---|---|---|---|---|
Availability | Yes | Yes | Yes | Yes |
Email Recipients | All account members | All account members | Specified email addresses | Specified email addresses |
アラートはデフォルトでオフになっています。アラートを受け取りたい場合は、SSL/TLS > エッジ証明書 ↗に移動し、証明書透明性モニタリングを有効にしてください。ビジネスまたはエンタープライズゾーンにいる場合は、メールを追加を選択します。
アラートの受信を停止するには、証明書透明性モニタリングを無効にするか、機能カードからメールを削除してください。
ほとんどの証明書アラートはルーチンです。Cloudflareは、あなたのドメインの証明書がログに表示されるたびにアラートを送信します。証明書は期限切れになり(再発行が必要)、発行メールを受け取ることは完全に正常です。メールにあなたのドメインが記載されており、合理的な所有権と証明書情報が含まれている場合、アクションは不要です。
さらに、証明書がCloudflareを通じて発行されたかどうかを確認する必要があります。Cloudflareは、証明書を提供するために複数のCAと提携しています。 Cloudflareが発行したすべての証明書とバックアップ証明書を表示するには、ダッシュボードのエッジ証明書ページ ↗にアクセスしてください。
何か明らかに問題がある場合には、アクションを取るべきです。たとえば、次のような場合です:
-
証明書発行者を認識しない。
-
最近、あなたのウェブサイトに問題が発生していることに気づいた。
悪意のある証明書を取り消すことができるのは、証明書機関のみです。あなたのドメインに対して不正な証明書が発行されたと考える場合は、メールに記載されている発行者としての証明書機関に連絡してください。
ドメインレジストラは、潜在的に悪意のあるドメインを一時停止することができるかもしれません。たとえば、GoDaddyを通じて悪意のあるドメインが登録されたことに気づいた場合は、GoDaddyのサポートチームに連絡して、彼らが助けてくれるかどうかを確認してください。他のレジストラでも同様に行ってください。
悪意のある証明書に対抗する他の方法もあります。サイト内通知で訪問者に警告したり、ブラウザメーカー(GoogleのChromeなど)にこれらのドメインをブロックするよう依頼したりできます。
誰かがあなたをオンラインで偽装しようとしている場合は、必ずアクションを取るべきです。これは通常認識するのが難しいため、注意を払ってください。覚えておいてください: 大多数の証明書は悪意のあるものではありません。何か問題があると信じる場合のみアクションを取ってください。
証明書透明性モニタリングは、HTTP公開鍵ピンニング (HPKP) と同じ問題に対処しますが、技術的な問題が少ない ↗です。
CloudflareはHPKPを提供またはサポートしておらず、ユニバーサルSSLでの使用を推奨していません。