DigiCert KnowledgeBase - Technical Support-hero

Knowledge Base

コードサイニング証明書における公開鍵長等の仕様変更について

ソリューション番号: ALERT2763
最終更新日: 2024/08/28

 

2021年5月11日
デジサート・ジャパン合同会社
お客様各位

 

 平素は格別のご高配を賜り、誠にありがとうございます。

弊社では、CA/ブラウザが定めるコードサイニング証明書の発行に関する要求事項等の変更に伴い、2021年5月28日より、
コードサイニング証明書、およびEVコードサイニング証明書に使用する公開鍵長を変更いたしますので通知申し上げます。
詳細は下記をご参照ください。
なお、すでに発行された証明書、または適用日以前に発行される証明書は、その有効期限を迎えるまで問題なく
ご利用いただけます。

弊社では引き続きサービスの向上に努めてまいりますので、今後ともご愛顧を賜りますよう、
お願い申し上げます。

1. 対象製品
・コードサイニング証明書
・EVコードサイニング証明書

2. 適用日
2021年5月28日 (金) 午前5:00 以降に発行される証明書

※2021年5月28日に変更になりました。

※同作業に伴うサービスの停止はございませんが、証明書が発行される時間帯により、従来の公開鍵長では発行できない
場合がございます。また、時間は前後する場合がありますので何卒ご了承ください。

3. 変更内容および注意点
適用日以降にご申請いただくCSRの公開鍵長、およびこれを利用して新規/更新/再発行申請・発行される証明書の公開鍵長は、
RSA3072bit以上となります。なお、当公開鍵長の変更は、エンドエンティティ証明書、中間CA証明書、ルート証明書
に適用されます。

[ご注意ください]
- すでに発行された証明書、または適用日前に発行された証明書はその有効期限までご利用いただけます。
 証明書を再取得し、れ替えていただく必要はございません。

- 従来仕様での証明書の発行をご希望の場合は、適用日前までに発行 (EVコードサイニング証明書の場合は、
 トークンへのインストレーション)を完了いただきますようお願いいたします。

- 適用日以降にCSRを提出してご申請いただく場合は、鍵長3072bit以上のRSA鍵で生成したCSRをご提出ください。

- EVコードサイニング証明書の場合、3072bit以上のRSA鍵をサポートする新しいトークン、
 またはHSMが必要となります。 適用日以降に発行される証明書には、既存のトークンは使用せず、
 弊社より送付する新仕様のトークンをご利用ください。 お客様で準備したHSMに証明書を格納して
 利用する場合は、鍵長の対応状況をあらかじめご確認いただきますようお願いいたします。

- 上記適用日以降に発行された対象製品の証明書には、新しい中間CA証明書が含まれております、
 必ずエンドエンティティに合わせて新しい中間CA証明書をご利用ください。

ご参考) 【重要】コードサイニング証明書おける公開鍵長等の仕様変更について
https://knowledge.digicert.com/ja/jp/alerts/ALERT2757.html

4. 背景
コードサイニング証明書は、コードやプログラムに署名するために使用されますが、これら署名されたコードは
長期間にわたり利用され、署名も長期間にわたって有効である必要があります。 より安全な運用のため
米国NIST(米国標準技術研究所)の推奨事項や、マイクロソフト社のコード署名における鍵長RSA4096bitへの
移行推奨をうけ、CA/ブラウザフォーラムではコードサイニング証明書のガイドラインに、2021年6月1日以降に
発行するパブリックのコードサイニング証明書の鍵長をRSA3072bit以上とすることと改定されました。

ご参考)
Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates, CA/Browser Forum (CAブラウザフォーラム) , May 3, 2021
https://cabforum.org/wp-content/uploads/Baseline-Requirements-for-the-Issuance-and-Management-of-Code-Signing.v2.3.pdf

5. 本件に関するお問合せ先はこちら