[小ネタ] ACM の「追加の検証要求」が何ものか調べてみたら、Alexa Rank が関係しているらしかった

TL;DR

• ACM で証明書を発行しようとすると「追加の検証要求」が発生することがあります
• 発生するかどうか、調べられるサイトがあるそうです

はじめに

みなさん、 ACM 使ってますか！（挨拶

ACM (AWS Certificate Manager) で証明書の発行をリクエストしたりするときには、「追加の検証要求 (Additional Verification Required)」が発生することがあるそうです。

公式ドキュメントにはこう書いてあります。

• 追加の検証要求 - 証明書リクエストの問題のトラブルシューティング - AWS Certificate Manager

追加の検証要求
ACM は、この証明書のリクエストを処理するために追加の情報を必要とします。この情報を提供するには、サポートセンターから AWS サポート にお問い合わせください。

OK、よくわかりませんね！

念のため英語版のドキュメントも見てみましたが、同じ事しか書いてませんでした。とはいえ自分でも検証目的などで証明書を複数枚発行しているのですが、この事象には出くわしたことがありません。ただし実際に、この現象に遭遇したというお問い合わせは（弊社サポート窓口に）届きます。

実際にこれが発生してしまうと、その「追加の検証要求」処理（サポートケース起票）が終わらないと先に進めません、ということは証明書が手に入らないことになります。即時発行が売り（それだけではありませんが）の ACM で思わぬ足止めをくってしまうのはちょっと面食らいますよね。

じゃあどうすれば、と考えていたところ、先日「Discussion Forumsに書いてあったよ」という情報を得ることができたので記事にしてみました。

追加の検証要求 (Additional Verification Required) と Alexa Rank

問題のフォーラムはこちらです。

• AWS Developer Forums: Request failed while creating a certificate

Usually, this error appears when an ACM certificate request contains a domain that is listed under the Alexa Top 1000 domains.
(snip)
you can also check by entering your domain name to this link : https://www.alexa.com/siteinfo

かいつまんで訳すと、「このエラーは通常、 Alexa (アレクサ) Top 1000 にリストアップされているドメインに発生するよ、siteinfo で調べられるよ」とのこと。

こうですか？ 違います！

アレクサ・インターネット ( Alexa Internet ) は Amazon 傘下ではありますがスマートスピーカーとは関係なく、ウェブサイトの利用状況を収集したりランク付けしたりしている企業です。

• Alexa - Alexa Internet - About Us
• アレクサ・インターネット - Wikipedia

AWS は ACM のリクエストを受領したときにはこのアレクサが提供しているドメインのランクを確認し、トップ 1,000 以内に位置するような有名なドメインについては追加の検証を要求します、ということになっていると。

フォーラムの回答に「This process is in place to prevent abuse. (このプロセスは悪用を防ぐためのものです)」とあるように、つまり有名なドメインほど悪用されやすいので、そういうドメインに関する証明書の発行は慎重に行いますよ、ということかと思います。

もし自分の使っているドメインに対して「追加の検証要求」が来る可能性があるかどうか気になったら、このアレクサランクを確認すればよい、というわけですね！

Alexa ランクの調べ方

実際に調べてみます。アレクサは siteinfo というサービスを提供してくれていますので、そちらを使います。

Alexa - Competitive Analysis, Marketing Mix, and Website Traffic

こちらのページのフォームにドメイン名を入力し、「 Run Analysis 」をクリックするとレポートが表示されます。

弊社 classmethod.jp ドメインで試してみたところ、記事執筆当時こんな感じでした。

• Alexa - Classmethod Competitive Analysis, Marketing Mix and Traffic

ドメインランクは 13,000 ちょっと。 弊社は当分 ACM で困ることはなさそうですね！

ちなみにですが、記事執筆当時の ランク 1 は流石のこのドメインでした。

Alexa - Google Competitive Analysis, Marketing Mix and Traffic

注意事項

思いつく範囲で注意事項を列挙してみます。

検証はサブドメイン単位だが、アレクサランクはドメイン単位で確認される

例えば取得しようとしている ACM のドメインが下記だったとしても、

• internal-use.example.com

アレクサランクの確認対象は下記になるわけです。

• example.com

新しいサブドメインだから、以前別のサブドメインで証明書を取得できたから、と油断していると、いつの間にかドメインがアレクサ RANK 1000 入りしていたりして引っかかることもありそうですね。

で、これ公式なの？

こんな記事を書いておきながらアレですが、違います。

AWS が運営する Discussion Forums で、 AWS の看板を背負った担当者が明言しているので、間違いではないでしょう。ですが公式ドキュメントに書かれているものではないので、（その後こっそり変更されたかもしれないという意味も含め）あくまで「参考情報」と認識するべきかと思います。

まとめ

AWS は ACM の証明書を発行する際、 Alexa のランキングを参照しているよ、というお話でした。

正直なところ、この「追加の検証要求」で引っかかったからといって大したことはなさそうです。サポートケースを起票すればいいのです。正当なドメインの持ち主である限り、拒否されることなく数日以内に発行されることでしょう。

とはいえ、扱っているドメインが名の売れたものであった場合は、こういったこともあり得るということでご認識頂ければと思います！