2020年10月8日
デジサート・ジャパン合同会社
お客様各位
[続報] 中間CA証明書の変更(デジサート企業認証(OV)サーバ証明書)スケジュールの変更について
平素は弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。
さる2020年9月30日にご案内いたしました「中間CA証明書の変更(デジサート企業認証(OV)
サーバ証明書)に関するご案内」につきまして、計画の一部を変更させていただきますので、
以下にご案内申し上げます。
弊社では、今後の業界要求事項の変更に対する証明書ライフサイクルの迅速な対応、
および軽減化を目的として、SSL/TLSサーバ証明書の中間CA証明書を定期的に
変更してまいります。このたび、その一環としてデジサートブランドの企業認証(OV)
証明書を対象とした中間証明書の変更を予定しておりますが、以下の通り実施
スケジュールを変更させていただくこととなりましたので、ご案内申し上げます。
なお、当変更適用日以前に発行済みの証明書については、中間証明書の入れ替えなどの
対応をいただく必要はございません。
詳細は下記をご参照ください。
弊社では引き続きサービスの向上に努めてまいりますので、今後ともご愛顧を
賜りますよう、お願い申し上げます。
記
1. 【更新】 適用日時(予定)
変更前:2020年10月16日(金)(日本時間)
変更後:2020年11月3日(火)(日本時間) 0:00 より順次
※ 同変更に伴う弊社の作業を0:00 ~ 2:00の間に実施いたします。
同作業に伴うサービスの停止はございませんが、証明書が発行される時間帯に
より、中間CA証明書が異なりますので何卒ご了承ください。
※ 時間は前後する場合がありますので何卒ご了承ください。
2. 【再掲】 対象製品ならびに対象の階層構造オプション
□対象製品
・デジサート グローバル・サーバID
・デジサート セキュア・サーバID
※ EV SSLサーバ証明書、ジオトラストブランドの証明書は対象外です。
□対象の階層構造オプション
上述の製品で利用可能な全ての階層構造オプションにおける中間証明書が変更の対象となります。
詳細は次のセクションを参照ください。
3. 【再掲】 変更内容および注意点
・対象製品について変更前後の中間CA証明書の名称は以下表の通りとなります。
階層構造オプション |
変更前 |
変更後 |
標準:RSA SHA-2 |
DigiCert SHA2 Secure Server CA |
DigiCert TLS RSA SHA256 2020 CA1 (*1) |
オプション:RSA SHA-2 (SHA-2ルート) |
DigiCert Global CA G2 |
DigiCert Global G2 TLS RSA SHA256 2020 CA1 |
オプション:ECC (RSAルート) |
DigiCert ECC Secure Server CA |
DigiCert TLS Hybrid ECC SHA384 2020 CA1 |
オプション:ECC (ECCルート) |
DigiCert Global CA G3 |
DigiCert Global G3 TLS ECC SHA384 2020 CA1 |
*1 : 万が一変更前の中間証明書やその公開鍵がピニング(固定登録)されている場合の緊急措置として、
適用日以降においても、変更前の中間認証局と同一の鍵を用いた証明書を取得いただくことが可能です。
当緊急措置が必要な場合は弊社テクニカルサポートまでお問合せください。
※現在は変更前の中間CA証明書の提供を終了しています。
4. 【更新】 変更に必要な作業
上記適用日以降に発行された対象製品の証明書をお客様のウェブサーバにインストールいただく際には、
変更後の新しい中間CA証明書を併せてインストールいただく必要があります。
a. 2020年11月2日 (月) 23時頃までに発行されたSSLサーバ証明書
変更前の中間CA証明書をWebサーバにインストールしてください。
b. 2020年11月3日 (火) 0時頃以降に発行されたSSLサーバ証明書
変更後の新しい中間CA証明書をWebサーバにインストールしてください。
※ なお、すでに発行済みの証明書には、その有効期間を迎えるまで引き続きご利用いただけます。
中間証明書を入れ替えていただく必要はございません。
※ ルート証明書に変更はありません。従って、対応ブラウザ・モバイル端末範囲への影響はございません。
※ クロスルート証明書に変更はありません。ただし弊社リポジトリ「中間CA証明書ダウンロード」
ページより「クロスルート設定用証明書込み:2枚1組バンドル」をご取得・ご活用いただいている場合、
このうち中間証明書の内容が変更となりますので、適用日以降にインストールをいただく場合は
新しいバンドルをご取得・ご活用ください。
■必ずご確認ください■
特に適用日前後にSSL/TLSサーバ証明書を取得したお客様におきましては、
以下のいずれかの方法にて適切な中間CA証明書をご確認・ご選択の上インストールしてください。
方法1. CertCentralのオーダー詳細ページから中間CA証明書をダウンロードいただく
方法2. 発行通知メールから中間CA証明書をご取得いただく
方法3. 発行されたSSL/TLSサーバ証明書(End-Entity)の発行者(Issuer)を確認し、弊社リポジトリから中間CA証明書を取得いただく
・併せて、証明書をインストールした後にSSLサーバ証明書および中間CA証明書が
正しく設定されていることをご確認いただくことを推奨いたします。
デジサート SSL Tools
https://ssltools.digicert.com/checker/views/checkInstallation.jsp
5. 【再掲】 背景
業界全体におけるSSL/TLSサーバ証明書の有効期間短縮をはじめとし、ブラウザ
コミュニティ、およびCA/ブラウザフォーラム等における要求事項の変更により、
今後より一層、SSL/TLSサーバ証明書ライフサイクル管理に対し迅速な対応が
求められてまいります。また、これらの変更による中間CA証明書、および
End-Entity証明書への影響を軽減する目的とし、弊社では中間CA証明書の
ライフサイクルをより短く管理していく方針であり、その一環として、
デジサートブランドの企業認証(OV)証明書の中間CA証明書をこのたび
変更させていただくことといたしました。
弊社では、SSL/TLSサーバ証明書ライフサイクル管理のベストプラクティスとして、
証明書のインストール時には、End-Entity証明書とあわせて中間CA証明書も必ず
入れ替えていただくようご案内しております。証明書のライフサイクル管理
手順において中間CA証明書を固定登録すること、またはハードコーディングすることは
非推奨とさせていただきます。お客様におきましても、この機会にあらためて
中間CA証明書のお取り扱いにご留意いただき、運用の変更をご検討いただきますよう
お願い申し上げます。
より詳細な背景や狙いについては、こちらの弊社ブログ(英文)を併せてご参照ください。
「証明書のピンニングはやめましょう」
https://www.digicert.com/jp/blog/certificate-pinning-what-is-certificate-pinning/
6.【再掲】 今後の予定について
弊社SSL/TLSサーバ証明書における今後の中間CA証明書の変更の計画については
以下の弊社ウェブページをご参照ください。
「【重要】デジサート中間CA証明書変更に関するお知らせ」(日本語)
https://knowledge.digicert.com/ja/jp/alerts/ALERT2709.html
(英語)「DigiCert ICA Update」
https://knowledge.digicert.com/alerts/DigiCert-ICA-Update.html
7. 本件に関するお問合せ先はこちら