DCV認証が通らないときのチェックリスト — DNS・ファイル・メール認証別の原因と対処
ページ更新日:2026/05/24
30秒で分かる:DCVトラブル対処
- まず確認すべき3点
- ① 認証方法が正しく実装されているか(コピペミス・大文字小文字・ホスト名のドメイン重複) ② DNS伝播が完了しているか(dig/dnschecker.org で外部から確認) ③ CAA レコードに発行先 CA が含まれているか。
- 方式別の典型原因
- DNS:TTL長すぎ・伝播待ち・CAAブロック/ファイル:HTTPSリダイレクト・WAF/CDNブロック・.well-known不可/メール:5種類アドレス以外指定・MX未設定・迷惑メール振り分け。
- 切り替えの判断
- メール認証で詰まったらDNS/ファイル認証へ切替が現実的。CNAME 認証は CA・プランによっては DCV 再利用 が効く。
- 緊急の選択肢
- 同一 CSR で再申請、別の認証方式へ切替、ドメイン管理者へエスカレーション。詰まったら弊社サポートまでお問い合わせください。
SSL証明書の申し込み後、DCV(ドメイン所有権確認)がなかなか完了しないケースがあります。
認証方法(DNS認証・ファイル認証・メール認証)別に、よくある原因と確認ポイントをまとめました。
基本的なDCVの仕組みは DCV(ドメイン所有権確認)の方法 をご参照ください。
DNS認証が通らないときの確認ポイント
1. DNSレコードの値・タイプが正しいか確認する
認証局から提供された値を正確にコピーしているか確認してください。スペースや改行が混入することがあります。
TXTレコードとCNAMEレコードで指定方法が異なります。どちらを使うべきかも確認してください。
- ホスト名(名前)が正しいか確認する(例:
_dnsauthを入力すべきところを_dnsauth.example.comとドメイン名ごと入力してしまうケース) - 値(バリュー)のコピーミスがないか確認する
- レコードタイプ(TXT / CNAME)が正しいか確認する
2. DNSの伝播(プロパゲーション)を待つ
DNSレコードの変更は世界中に伝播するまで時間がかかります(通常は数分〜数時間、TTLによっては最大24〜48時間)。
dig コマンドまたはオンラインツール(dnschecker.org など)でレコードが正しく伝播しているか確認してください。
dig TXT _dnsauth.example.com
3. CAAレコードを確認する
ドメインのCAAレコードに申し込んだ認証局が含まれていない場合、証明書は発行されません。
CAAレコードの確認方法 を参考に確認してください。
4. ワイルドカード証明書にはDNS認証が必須
ワイルドカード証明書(*.example.com)はDNS認証でのみ発行できます。ファイル認証・メール認証は選択できません。
5. CNAMEリダイレクト先のDNS設定を見落としている
認証局によっては DCV 値を _dnsauth.example.com の CNAME として「認証局指定の対象FQDN」に向ける方式(CNAME型 DCV)を提供しています。この場合、CNAMEのターゲットに認証局が用意したレコードが必要です。CNAMEを設定して終わりではなく、CNAMEリダイレクト先のレコードが解決できることまで確認してください。
6. TTL が長すぎて変更が伝播していない
既存のレコードが長いTTL(例:86400秒=24時間)で公開されていると、変更後もキャッシュが残ります。次回の DCV を見越して、DCV 開始の数日前に TTL を300秒程度に短縮しておくのが定石です。
7. ネガティブキャッシュ(NXDOMAIN キャッシュ)が残っている
過去に存在しなかったレコード(_dnsauth.example.com)の NXDOMAIN 結果が DNS リゾルバ側にキャッシュされる場合があります。SOA レコードの minimum(ネガティブキャッシュTTL)を超えるまで待つ、または別リゾルバ(1.1.1.1 / 8.8.8.8)で再確認してください。
ファイル認証が通らないときの確認ポイント
1. ファイルのURL・内容を確認する
認証局がアクセスするURLは http://www.example.com/.well-known/pki-validation/[ファイル名] です。
実際にそのURLをブラウザで開いて、ファイルの内容(認証局から指定された文字列)が表示されるか確認してください。
- ファイル名を正確に設定しているか確認する(大文字・小文字の違いに注意)
- ファイルの内容が正しいか確認する(余分な改行・スペースが入っていないか)
- Content-Type の制限がある場合、
text/plainとして返される必要があります
2. .well-known ディレクトリへのアクセスが許可されているか確認する
Webサーバーの設定によって .well-known ディレクトリがアクセス禁止になっている場合があります。
# Apache .htaccess で .well-known を許可する設定例
<Directory "/.well-known">
Require all granted
</Directory>
3. HTTPSリダイレクトが影響していないか確認する
認証局は http:// でファイルにアクセスします。http:// → https:// にリダイレクトしている場合、認証に失敗することがあります。
.well-known/pki-validation/ へのアクセスはリダイレクトから除外するか、HTTPアクセスを一時的に許可してください。
4. 認証局のIPアドレスをファイアウォールで拒否していないか
WAF・ファイアウォール・Cloudflareなどがボットアクセスをブロックしている場合、認証局からのアクセスが拒否されることがあります。
一時的にアクセス制限を緩和するか、認証局のIPアドレスを許可リストに追加してください。
メール認証の承認メールが届かないときの確認ポイント
1. 受信できるメールアドレスか確認する
メール認証に使用できるアドレスは以下の5種類に限られます。
admin@example.comadministrator@example.comhostmaster@example.compostmaster@example.comwebmaster@example.com
上記以外のメールアドレスでは認証できません。これらのメールアドレスを受信できる環境を準備するか、DNS認証・ファイル認証に切り替えてください。
2. 迷惑メールフォルダを確認する
認証局からのメールが迷惑メールフォルダに振り分けられている場合があります。
送信元ドメイン(DigiCertの場合 @digicert.com または @rapidssl.com など)を許可リストに追加してください。
3. メールサーバーのMXレコードを確認する
ドメインのMXレコードが正しく設定されていないと、メールが届きません。
dig MX example.com
4. WHOISのメールアドレスは縮小傾向
以前は WHOIS連絡先メールでの DCV が広く使われていましたが、CA/Bフォーラム規定の改定で段階的に非推奨化されています。新規申請ではDNS/ファイル方式の利用を強くおすすめします。
5. .jp ドメインなど、WHOIS公開が制限されているドメイン
.jpドメインは個人ドメイン名以外は WHOIS で代行公開(指定事業者のメール)となるケースがあり、メール DCV が成立しないことがあります。レジストラに転送設定を依頼するか、DNS/ファイル方式へ切り替えてください。
よくある誤解
- ❌ DCVは1回成功すれば、次回更新でもスキップされる
- ✅ 更新時も毎回 DCV が必要です(CA・プランによっては一定期間の DCV 再利用 が可能ですが、必ずしも使えるとは限りません)。47日化以降は再利用ポリシーがさらに厳しくなる見込み。
- ❌ DNS伝播はTTL分待てば必ず完了する
- ✅ ISPのキャッシュリゾルバや CDN 経由の場合、TTLどおりに更新されないケースがあります。複数の外部リゾルバ(Cloudflare 1.1.1.1, Google 8.8.8.8)で確認するのが確実。
- ❌ ファイル認証はHTTPS(443)でアクセスされる
- ✅ 認証局は HTTP(80)でアクセスします。HTTPS強制リダイレクトしている場合は
.well-known/pki-validation/を除外する設定が必要。 - ❌ Cloudflare の「Always Use HTTPS」を有効にしていても、ファイル認証は動く
- ✅ 動きません。一時的に無効化するか、Page Rule で
.well-known/pki-validation/*を除外してください。
よくある質問
- Q. DNS認証のTXTレコードを設定したのに証明書が発行されません
- A. DNSの伝播に時間がかかる場合があります(数分〜数時間)。
dig TXTコマンドや dnschecker.org でレコードが世界中に伝播しているか確認してください。また、ホスト名や値のコピーミス、CAAレコードによるブロックも確認ポイントです。 - Q. ファイル認証のファイルを設置したのに認証が通りません
- A. 認証局がアクセスするURLを直接ブラウザで開き、ファイルの内容が正しく表示されるか確認してください。
.well-knownディレクトリがアクセス禁止になっていないか、HTTPSへのリダイレクトが影響していないか、WAFがブロックしていないかも確認ポイントです。 - Q. メール認証の承認メールが届きません
- A. 使用できるメールアドレスは admin@、administrator@、hostmaster@、postmaster@、webmaster@(@以降はドメイン名)の5種類のみです。迷惑メールフォルダの確認、送信元ドメインの許可リスト追加もお試しください。これらのアドレスで受信できない場合はDNS認証またはファイル認証への切り替えをお勧めします。
- Q. CNAMEリダイレクトでDCVを設定したのに通りません
- A. CNAME型のDCV(
_dnsauth.example.comのCNAMEを認証局指定FQDNに向ける方式)では、CNAMEのリダイレクト先のレコードが解決できる必要があります。CNAME設定後にdig CNAMEとdig TXTで「CNAMEターゲットのレコードが返ってくる」ことまで確認してください。 - Q. DNSの伝播はTTLどおりに完了しますか?
- A. 理論上はTTL秒で各リゾルバのキャッシュが切れますが、ISPのキャッシュやCDN経由ではTTL通りに更新されないケースがあります。複数の外部リゾルバ(Cloudflare 1.1.1.1, Google 8.8.8.8)で確認するのが確実です。次回DCVに備えて、開始の数日前にTTLを300秒程度へ短縮しておくのが定石です。
- Q. Cloudflare配下のドメインでファイル認証が通りません
- A. Cloudflareの「Always Use HTTPS」やWAFがブロックしている可能性があります。一時的に「Always Use HTTPS」を無効化するか、Page Ruleで
/.well-known/pki-validation/*をリダイレクト・WAF除外する設定を入れてください。DNS認証への切り替えが最も確実な代替策です。 - Q. CAAレコードでSSL証明書の発行がブロックされていないか確認するには?
- A.
dig CAA example.comで確認できます。CAAレコードが設定されていて、発行先の認証局のドメインが含まれていない場合は発行できません。CAAレコードを修正するか、CAAレコードを削除してください。詳細は CAAレコード解説 を参照してください。 - Q. DCVは更新時もスキップできませんか?
- A. 更新時も基本的に毎回DCVが必要です。CA・プランによっては一定期間の「DCV再利用」が可能な場合がありますが、必ず使えるとは限りません。47日化に向けてDCV再利用ポリシーはさらに厳しくなる見込みで、自動化(ACME)の導入検討を推奨します。
関連ページ
DCV(ドメイン所有権確認)の方法:DNS・ファイル・メール認証
CAAレコードとは?SSL証明書の発行に失敗するケース
SSL証明書発行までの日数について
SSL証明書の更新は何日前から可能ですか?
ACMEプロトコルによる自動 DCV・自動更新