質問

Advanced Search

Alert ID : ALERT2818

Last Modified : 07/31/2023

SSL/TLSサーバ証明書のルート証明書、および中間CA証明書変更に関するご案内

Description

このページの内容は最新情報ではありません。
Mozilla社による無効化適用日等の見直し等があり、
2022年11月28日に本案内に関する続報を発表いたしましたので、
最新情報については下記ページをご確認ください。


(続報) SSL/TLSサーバ証明書のルート証明書、および中間CA証明書変更に関するご案内
2023年 DigiCert ルートおよび中間CA証明書の更新に関するご案内
 
2022年9月20日
デジサート・ジャパン合同会社
 
 

このたび弊社では、2023年3月より、パブリック環境で利用いただくSSL/TLSサーバ
証明書の中間CA証明書を変更し、新たな次世代ルート証明書(以下、第5世代 デジサート
“G5ルート”)に署名検証する新証明書階層へ移行を開始する計画であることを通知
申し上げます。
ウェブサイトを管理いただくお客様におきましては、適用日以降に発行される証明書には、
新しい中間CA証明書をご利用いただく予定となりますので、何卒ご理解いただきますよう
お願い申し上げます。当変更に関する背景、概要、および今後の予定につきましては以下を
ご確認ください。なお、現在ご利用の発行済み証明書、適用日前に発行される証明書は、
その有効期限まで継続してご利用いただけます。

 

 

1. 適用予定日
2023年3月9日(木)2:00 (日本時間)

※適用時間は前後する場合がございます。日程に変更が生じる場合はご案内いたします。

2. 背景
デジサートが現在利用しているルート証明書は、サーバ証明書やコードサイニング証明書
用途など、多目的の利用用途があります。新しいG5ルート証明書、および中間CA証明書は、
TLS/SSLのみを発行することに特化した単一目的の証明書となります。 各利用用途専用の
ルート証明書にすることにより、コードサイニング証明書やS/MIME証明書など他の証明書に
求められる基本要件と区分して管理することができ、業界やCA/ブラウザフォーラムが求める
ガイドラインの変更の影響を限定的とすることができます。

3. 対象となるサービス
SSL/TLSサーバ証明書 、 以下の製品を含みます。

・グローバル・サーバID EV
・グローバル・サーバID
・セキュア・サーバID EV
・セキュア・サーバID
・スタンダード・サーバID EV
・スタンダード・サーバID
・ジオトラスト トゥルービジネスID with EV
・ジオトラスト トゥルービジネスID
・ジオトラスト クイックSSLプレミアム

※プライベートSSLサーバ証明書は対象外です。

4. 変更内容

4-1. 中間CA証明書の変更について

上記適用日以降に、新規、更新、再発行申請により発行される証明書は、新しい中間CA証明書
から発行されます。適用日以降に発行されたサーバ証明書をお客様のウェブサーバに
インストールいただく際には、変更後の新しい中間CA証明書を併せてインストールいただく
必要があります。 各製品における新しい中間CA証明書の詳細は、今後、後続のメール、
および弊社サポートサイトに掲載いたします。

なお、すでに発行済みの証明書、または適用日以前に発行される証明書は、その有効期限を
むかえるまで、引き続きご利用いただけます。 証明書を入れ替えていただく必要は
ございません。

4-2. ルート証明書の変更について

上記適用日以降に、新規、更新、再発行申請により発行される証明書は、次世代の
G5ルート証明書に署名検証します。

現在利用されているルート証明書:
・Baltimore CyberTrust Root
・DigiCert Assured ID Root CA
・DigiCert Global Root CA
・DigiCert High Assurance EV Root CA

今後利用するルート証明書:
・DigiCert TLS RSA4096 Root G5
・DigiCert TLS ECC P384 Root G5

ルート証明書は、通常クライアント側に登録されています。Windows、Chrome、360、
およびFirefoxの最新バージョンには、すでに新しいG5ルートが含まれており一般的な
ブラウザでアクセスする際には、問題なく通信が可能です。 ただし、G5ルート証明書が
搭載されていないレガシー機器等の端末とTLS通信を想定している場合は、ルート証明書
未対応により通信エラーとなる場合がございます。

ご参考)SSL証明書とは
https://www.digicert.com/jp/what-is-an-ssl-certificate

5. 今後の予定について
当メールは、今後予定されている中間CA証明書、ルート証明書の変更の計画について
ご案内しております。今後、当変更における各製品毎の中間CA証明書、クロスルート証明書
の取得手順等詳細を順次ご案内いたします。

6. よくあるご質問:
Q. 中間CA証明書やその公開鍵がピニング(固定登録)しています、および/または
ルートストアを管理しています。適用日までに何をすればよいでしょうか?

A. 適用日前までに、お客様の環境を変更、またはG5ルートを配布いただきますよう
お願いいたします。なお、証明書のライフサイクル管理手順において中間CA証明書を
固定登録すること、またはハードコーディングすることは非推奨とさせていただいて
おります。

[ブログ] 証明書のピニングはやめましょう
https://www.digicert.com/jp/blog/certificate-pinning-what-is-certificate-pinning

Q. クライアント環境に、G5ルートが搭載されていない場合はどうすればよいですか?
A. Windows、Chrome、360、およびFirefoxの最新バージョンには、すでに新しいG5ルートが
含まれており一般的なブラウザでアクセスする際には、問題なく通信が可能です。 ただし、
G5ルート証明書が搭載されていないレガシー機器等の端末とTLS通信を想定している場合は、
ルート証明書未対応により通信エラーとなる場合がございます。

弊社では、各ベンダーにG5ルート証明書の配布および搭載を依頼するとともに、
従来ルート証明書との接続を可能とするクロスルート証明書の提供の準備をしております。
適用日以降に、レガシー機器端末との接続を継続する場合は、End-Entity証明書、
中間CA証明書とあわせてクロスルート証明書を必ずインストールいただくことで、
従来と同等の接続が可能となります。ブラウザの対応状況、および各製品における
クロスルート証明書の取得手順などの詳細は、今後、後続のメール、および
弊社サポートサイトに掲載いたします。

Q. 適用日までに新G5ルートへの対応が間に合わない場合、どうすればよいでしょうか?

A. 弊社ではお客様の期間における緊急措置として、適用日以降においても、変更前の
中間CA証明書から発行する従来階層の証明書を取得いただけるよう準備いたします。
当緊急措置が必要な場合は弊社テクニカルサポートまでお問合せください。
ただし、Mozillaは、現在利用しているルート証明書を2024年に順次「信頼しない認証局」
としてみなす措置を適用する予定です。信頼されない認証局(ルート証明書)は、
Firefox等Mozillaルートストアを参照するクライアント端末とのTLS接続はエラーとなります。
このため、弊社では、ブラウザベンダの措置適用前までに、新ルート証明書への移行を
強く推奨いたします。また今後、業界全体として、多目的で利用されるルートから、
単一用途のルート証明書への移行が推奨され、今後さらなる業界の規制の対象となる
可能性があることもご留意ください。

Q. クロスルート証明書はどのように取得できますか?
A. クロスルート証明書のご案内、およびご取得方法につきましては、今後追加の
お知らせにてご案内いたします。

ご参考)
【重要】G5ルート証明書ならびに中間CA証明書変更に関するご案内
https://knowledge.digicert.com/ja/jp/alerts/ALERT2817.html

デジサート ルート証明書/中間CA証明書
https://www.digicert.com/kb/digicert-root-certificates.htm

7.本件に関するお問合せ先はこちら