質問

Advanced Search

Alert ID : ALERT1880

Last Modified : 10/10/2018

SSLサーバ証明書における階層構造オプションの追加、およびCAA対応について

INFORMATION

Description

2015年9月1日


お客様各位

                         合同会社シマンテック・ウェブサイトセキュリティ

 

SSLサーバ証明書における階層構造オプションの追加、およびDNS Certification Authority Authorization(CAA)対応について

 


平素より弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

このたび弊社では、現在提供しておりますECC対応版、およびSHA-2対応版SSLサーバ証明書において、従来とは異なる証明書の階層構造(または、検証チェーン)を選択できるオプション(無償)を追加いたしますのでご案内申し上げます。
また、弊社ではDNS Certification Authority Authorization(CAA)のサポートを開始いたしますので、併せて案内申し上げます。

シマンテックでは、引続きサービス改善に努めて参りますので、今後ともご愛顧賜りますようお願い申し上げます。

 

 

 

1. SSLサーバ証明書における階層構造オプションの追加

1-1. [ECC対応版SSLサーバ証明書] より普及したRSAルート証明書へチェーンする階層構造オプション

■ 適用日

本日より
 
■ 対象システム

  • シマンテック ストアフロント


■ 対象製品上記対象システムから発行する以下製品

  • シマンテック グローバル・サーバID     
  • シマンテック グローバル・サーバID EV 
     

■ 概要
 

RSA鍵を用いたより普及したルート証明書(*1)へチェーンするECC対応版SSLサーバ証明書のオプション(ECC/RSAハイブリッドタイプ)の提供を開始いたします。
従来のECC鍵を用いた次世代のルート証明書(*2)にチェーンするECC対応版SSLサーバ証明書(ECCピュアチェーンタイプ)に比べて、クライアント端末との互換性に優れ、Mac OS X、iOSならびにAndroid 2.xでもSSL/TLS通信が可能となります。(*3)
   
 *1 : RSA鍵を用いたより普及したルート証明書
     VeriSign Class 3 Public Primary Certification Authority - G5
   
 *2 : ECC鍵を用いた次世代のルート証明書
     VeriSign Class 3 Public Primary Certification Authority - G4

 *3 : FAQ 「ECC対応版 SSLサーバ証明書 対応状況」
    id=SO23050

 
ECC対応版SSLサーバ証明書とは・・・
シマンテックでは、ますます高度化が進むサイバー脅威に先んじるために、2013年よりECC(Elliptic Curve Cryptography:楕円曲線暗号)オプションを提供させていただいております。現在主流として利用されるRSA 2048ビット鍵に比べて解読が約10,000倍程度困難である256ビットECC対応版SSLサーバ証明書をご利用いただくことで、セキュリティ向上のみならず、WebサーバのCPUにかかる負荷が大幅に軽減(*4)されるなど、サーバ運用にかかるコストを抑えることが可能です。
 
 *4 導入事例 株式会社ディレクターズ様  
   https://www.jp.websecurity.symantec.com/ssl/casestudies/directorz/

 

1-2. [SHA-2対応版SSLサーバ証明書] SHA-256で自己署名したルート証明書へチェーンする階層構造オプション

■ 適用日

本日より

■ 対象システム

  • シマンテック ストアフロント
  • シマンテック セキュア・サーバIDワイルドカード専用申請フォーム


■ 対象製品


上記対象システムから発行する以下製品
  • シマンテック セキュア・サーバID
  • シマンテック セキュア・サーバID ワイルドカード
  • シマンテック セキュア・サーバID EV
  • シマンテック グローバル・サーバID     
  • シマンテック グローバル・サーバID EV


■ 概要


現在ご提供しております「SHA-2対応版SSLサーバ証明書」では、クライアント端末との互換性を最大化するためRSA SHA-1で自己署名されたルート証明書(*5)へチェーンする階層構造を採用しています。
今回これに加えて、SHA-256で自己署名されたルート証明書(*6)へチェーンする階層構造のオプション(SHA-2フルチェーン)を提供いたします。
これにより「ルート証明書の自己署名」を含め、全てのコンポーネントに対してSHA-1の利用停止ならびにSHA-2の採用を必須とする要件への対応を可能とします。(*7)
 
 *5 : RSA SHA-1で自己署名しているより普及したルート証明書
      VeriSign Class 3 Public Primary Certification Authority - G5
 
 *6 : RSA SHA-2で自己署名した次世代のルート証明書
      VeriSign Universal Root Certification Authority
 
 *7 : 米国NISTガイドラインへの厳格な準拠を要する政府機関、
  金融機関などへの対応。  尚、通常のブラウザ(PCブラウザ、モバイル含む)に
  おいては、「ルート証明書の自己署名」にSHA-1を継続的に利用することが
  明示的に許容されています。

 

1-3. ご参考

■ 取得方法について

ユーザポータルから「再発行」にて当該オプションを選択の上、再発行してください。手順は以下をご参照ください。
id=SO23461

■ 中間CA証明書ダウンロードサイト

https://www.jp.websecurity.symantec.com/repository/intermediate.html
※証明書階層構造オプションをご利用になる場合は、適切な中間CA証明書をインストールする必要があります。
 

2.  CAA (DNS Certification Authority Authorization)対応について


■ 適用日

2015年9月15日(火)ご申請分より順次

■ 対象システム

  • シマンテック ストアフロント
  • シマンテック セキュア・サーバIDワイルドカード専用申請フォーム


■ 対象製品

上記対象システムから発行する以下製品

  • シマンテック セキュア・サーバID
  • シマンテック セキュア・サーバID ワイルドカード
  • シマンテック セキュア・サーバID EV
  • シマンテック グローバル・サーバID     
  • シマンテック グローバル・サーバID EV


■ 概要

DNS Certification Authority Authorization(以下「CAA」)とは、ドメイン名の所有者/管理者がDNSサーバを用いて、自らが所有/管理するドメイン名に対して証明書の発行を許可する認証局を指定することが可能になる仕組みです。DNSにCAAレコードを 指定することで、ドメイン名の所有者/管理者は、自らが管理するドメイン名に対して、 意図しない認証局から証明書が発行されるリスクを低減することが可能になります。
 
 CAAはIETF RFC 6844 draftとして策定されました。またCA/ブラウザフォーラムが定める業界基準文書「Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates」(以下「BR」)では、パブリック認証局に対して、CPS(認証局運用規定)にCAAへのサポートに関する宣言を公開することを義務付けています(*8)。
 このたびシマンテックでは、こうした動向を踏まえてCAAへのサポートを開始いたします。

 *8 : BR Section 2.2. PUBLICATION OF INFORMATION
      https://cabforum.org/baseline-requirements-documents/

■ 対応内容

当リリース以降に対象システムを通じて申請いただいたSSLサーバ証明書のご申請に対して、弊社による申請の承認時に、シマンテックにてお客様のDNSゾーンファイル内のCAAレコードを確認(*9)いたします。
ご申請手順や、証明書インストール手順、またはクライアント端末への影響はございません。

 *9 : DNSゾーンファイル内にCAAレコードが存在しないことが確認された場合、これまでと同様に認証完了後、SSLサーバ証明書を発行いたします。
  詳細につきましては、FAQに随時公開いたします。
 
  FAQ 「Certification Authority Authorization (CAA)」
  id=SO28149
 

3. 本件に関するお問合せ先


合同会社シマンテック・ウェブサイトセキュリティ テクニカルサポート
Email : server_info_jp@digicert.com
電話 : 03-5114-4135(音声ガイダンス後、2番を選択してください)
  (平日9時30分~17時30分、ただし祝祭日および年末年始を除く)

以上


----------------------------------------------------------------------
発行 : 合同会社シマンテック・ウェブサイトセキュリティ
----------------------------------------------------------------------