DigiCert 中間CA証明書変更に関する情報

Description

^{※本ページは米国ページを元に作成されています。}

Digicert は次の理由により中間CA証明書の変更を行います。:

証明書ライフサイクルへの迅速な対応
中間CA証明書のピニングやハードコーディング等の固定利用をさせないようにする
業界や CA/Browser Forum のガイドラインの変更による中間CA証明書やエンドエンティティ証明書への影響を緩和する

中間CA証明書はなぜ必要なのでしょうか？

認証局 (CA) は、ルート証明書を発行元として中間 CA証明書を、中間CA証明書を発行元として証明書を発行しています。

そのため証明書は複数階層構造となっており、ブラウザ等のクライアントアプリケーション等からサイトにアクセスする際は、
サイトに設置している証明書と中間CA証明書をたどって、最終的にクライアントに搭載されているルート証明書を使用して
証明書を検証します。

そのため、中間CA証明書を設定していない場合、正しいチェーンをたどれず証明書エラーが発生する原因につながります。

参考：SOT0006　ルート証明書／中間CA証明書の階層構造について

新中間CA証明書に変更することによる影響は？

次のような中間CA証明書の利用を行っていない限り、特別な対応は必要ありません

旧中間CA証明書を固定登録（ピニング）して使用している
旧中間CA証明書の使用前提として開発したプログラム等のソースコードの中に記述する等のハードコーディングを行っている
旧中間CA証明書が含まれる証明書ストアを使った利用を行っている

上記の使用を行っている場合は、今後中間CA証明書の随時更新するような運用をご検討ください。

中間CA証明書の変更による既存の証明書への影響は？

新しい中間CA証明書がリリースされても、既存の旧中間CA証明書を使用してる証明書には影響しません。

旧中間CA証明書を失効するわけではありませんので、旧中間CA証明書から発行されたすべての証明書はその有効期限が切れるまでは引き続きご利用いただけます。

ただし、新中間CA証明書のリリース後、旧中間CA証明書を発行元とする証明書を再発行すると、新中間CA証明書を発行元とする証明書が発行されますので、新中間CA証明書を設定する必要があります。

中間CA証明書の変更対応漏れを防ぐためのベストプラクティスは？

証明書が発行されると、証明書および中間CA証明書は発行通知の添付ファイルに含まれます。
またCertCentralの対象のオーダーページからダウンロードすることもできます。

それらのファイルにはその証明書の発行元である適切な中間CA証明書が含まれていますので、
発行毎にそれをインストールすることで、対応漏れを防ぐことができます。

参考：SOT0002 サーバ証明書インストール手順

中間CA証明書の取得方法

先述の通り、発行通知の添付ファイルやCertCentralからダウンロードできます。
また DigiCert Trusted Root Authority Certificates ページでも常にダウンロードすることができます。

これまでの変更履歴は以下の通りです。

2022年5月 DV製品中間CA証明書の変更

2022年5月25日以降に発行する中間CA証明書は、新しい中間CA証明書が発行元となります。
旧中間CA証明書のピニングやハードコーディング等を実施されている場合は更新することを推奨します。

対象製品

ジオトラストクイックSSLプレミアム
Rapid SSL

旧中間CA証明書	新中間CA証明書	発行元ルート証明書	OCSP	CRL
GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1 GeoTrust TLS DV RSA Mixed SHA256 2021 CA-1	GeoTrust Global TLS RSA4096 SHA256 2022 CA1	DigiCert Global Root CA	http://ocsp.digicert.com	http://crl3.digicert.com
RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1 RapidSSL TLS DV RSA Mixed SHA256 2021 CA-1	RapidSSL Global TLS RSA4096 SHA256 2022 CA1	DigiCert Global Root CA	http://ocsp.digicert.com	http://crl3.digicert.com

2021年12月クライアント証明書中間CA証明書の変更

2021年12月7日に中間CA証明書が変更になりました。この変更は、クライアント証明書の業界標準に準拠するため行われました。
旧中間CA証明書のピニングやハードコーディング等を実施されている場合は更新することを推奨します。

旧中間CA証明書/ルート証明書	新中間CA証明書/ルート証明書	新中間証明書のシリアル番号
(ICA) DigiCert SHA2 Assured ID CA (Root) DigiCert Assured ID Root CA	(ICA) DigiCert Assured ID Client CA G2 (Root) DigiCert Assured ID Root G2	0F:FA:E1:F3:1A:2B:43:3C:3D:9A:E1:6D:64:3B:58:8B

2021年６月 EV\OV製品中間CA証明書のプロファイル変更

2021年6月9日下記中間CA証明書のプロファイル変更を行いました。
この変更は、GoogleChromeのEVインジケーターとの互換性を回復させるために行われました。
そのため、旧中間CA証明書と新中間CA証明書はシリアル番号は異なりますが、
同一のキーペアおよび同一サブジェクト名ですので、どちらを利用しても問題は発生しません。

対象製品

セキュア･サーバID EV
グローバル･サーバID EV
スタンダード・サーバID EV
セキュア･サーバID
グローバル･サーバID
スタンダード・サーバID

中間CA証明書	旧シリアル番号	新シリアル番号
DigiCert TLS RSA SHA256 2020 CA1	0a3508d55c292b017df8ad65c00ff7e4	06d8d904d5584346f68a2fa754227ec4
DigiCert Global G3 TLS ECC SHA384 2020 CA1	0d360c448491ce24ed0b3540d870a0dd	0b00e92d4d6d731fca3059c7cb1e1886
DigiCert TLS Hybrid ECC SHA384 2020 CA1	0a275fe704d6eecb23d5cd5b4b1a4e04	07f2f35c87a877af7aefe947993525bd
DigiCert G5 TLS ECC SHA384 2021 CA1		041c5d282eb3710e6b72c2dabd26716f
DigiCert G5 TLS RSA4096 SHA384 2021 CA1		0e6458e754ec9cc7bac83231d5f94d58
DigiCert G5 RSA4096 SHA384 2021 CA1		0e8d2840ae4825905618b3a8a9e17a47
DigiCert G5 ECC SHA384 2021 CA1		060e453e9bf768c659336a5b02b47113

2020年11月　中間CA証明書の変更

2020年11月2日以降に発行する中間CA証明書は、新しい中間CA証明書が発行元となります。

旧中間CA証明書のピニングやハードコーディング等を実施されている場合は更新することを推奨します。

対象製品

セキュア･サーバID EV
グローバル･サーバID EV
スタンダード・サーバID EV
セキュア･サーバID
グローバル･サーバID
スタンダード・サーバID

旧中間CA証明書	新中間CA証明書	発行元ルート証明書	OCSP	CRL
DigiCert SHA2 Secure Server CA	DigiCert TLS RSA SHA256 2020 CA1 *CertCentralでデフォルトで発行される証明書の中間CA証明書になります。	DigiCert Global Root CA	http://ocsp.digicert.com	http://crl3.digicert.com http://crl4.digicert.com
DigiCert SHA2 Secure Server CA	DigiCert SHA2 Secure Server CA	DigiCert Global Root CA	http://ocsp.digicert.com	http://crl3.digicert.com http://crl4.digicert.com
DigiCert Baltimore CA-2 G2	DigiCert Baltimore TLS RSA SHA256 2020 CA1	Baltimore CyberTrust Root	http://ocsp.digicert.com	http://crl3.digicert.com http://crl4.digicert.com
DigiCert Global CA G2	DigiCert Global G2 TLS RSA SHA256 2020 CA1	DigiCert Global Root G2	http://ocsp.digicert.com	http://crl3.digicert.com http://crl4.digicert.com
DigiCert ECC Secure Server CA	DigiCert TLS Hybrid ECC SHA384 2020 CA1	DigiCert Global Root CA	http://ocsp.digicert.com	http://crl3.digicert.com http://crl4.digicert.com
DigiCert Baltimore CA-1 G2	DigiCert Baltimore SMIME RSA SHA256 2020 CA1	Baltimore CyberTrust Root	http://ocsp.digicert.com	http://crl3.digicert.com http://crl4.digicert.com
DigiCert Global CA G3	DigiCert Global G3 TLS ECC SHA384 2020 CA1	DigiCert Global Root G3	http://ocsp.digicert.com	http://crl3.digicert.com http://crl4.digicert.com
DigiCert Trusted Server CA G4	DigiCert Trusted G4 TLS RSA SHA384 2020 CA1	DigiCert Trusted Root G4	http://ocsp.digicert.com	http://crl3.digicert.com http://crl4.digicert.com
DigiCert ECC Extended Validation Server CA	DigiCert TLS Hybrid ECC SHA384 2020 CA1	DigiCert Global Root CA	http://ocsp.digicert.com	http://crl3.digicert.com http://crl4.digicert.com
DigiCert Assured ID CA G2	DigiCert Global G2 TLS RSA SHA256 2020 CA1	DigiCert Global Root G2	http://ocsp.digicert.com	http://crl3.digicert.com http://crl4.digicert.com
DigiCert Extended Validation CA G3	DigiCert Global G3 TLS ECC SHA384 2020 CA1	DigiCert Global Root G3	http://ocsp.digicert.com	http://crl3.digicert.com http://crl4.digicert.com
DigiCert High Assurance CA-3	DigiCert TLS RSA SHA256 2020 CA1	DigiCert Global Root CA	http://ocsp.digicert.com	http://crl3.digicert.com http://crl4.digicert.com
DigiCert EV Server CA G4	DigiCert Trusted G4 TLS RSA SHA384 2020 CA1	DigiCert Trusted Root G4	http://ocsp.digicert.com	http://crl3.digicert.com http://crl4.digicert.com

お問い合わせ

チャット

メール

Select a Language

チャット

メール

質問