質問

Alert ID : ALERT1881

Last Modified : 06/04/2018

SSLサーバ証明書における階層構造オプションの追加、およびCAA対応について

INFORMATION

Description

2015年9月1日

お客様各位
 日本ジオトラスト株式会社
 
SSLサーバ証明書における階層構造オプションの追加、およびDNS Certification Authority Authorization(CAA)対応について


平素は弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

このたび弊社では、現在提供しておりますSHA-2対応版SSLサーバ証明書において、従来とは異なる証明書の階層構造(または、検証チェーン)を選択できるオプション(無償)を追加いたしますのでご案内申し上げます。
また、弊社ではDNS Certification Authority Authorization(CAA)のサポートを開始いたしますので、併せて案内申し上げます。

ジオトラストでは、引続きサービス改善に努めて参りますので、今後ともご愛顧賜りますようお願い申し上げます。

 
 

1. SSLサーバ証明書における階層構造オプションの追加


SHA-2対応版SSLサーバ証明書において、SHA-256で自己署名したルート証明書へチェーンする階層構造オプションを提供いたします。

■ 適用日

本日より
 
■ 対象システム
  • ジオトラスト ストアフロント
  • パートナ専用GeoCenter

■ 対象製品

上記対象システムから発行する以下製品
  • ジオトラスト クイックSSLプレミアム     
  • ジオトラスト トゥルービジネスID
  • ジオトラスト トゥルービジネスID ワイルドカード
  • ジオトラスト トゥルービジネスID with EV
  • ラピッドSSL ワイルドカード

■ 概要

現在ご提供しております「SHA-2対応版SSLサーバ証明書」では、クライアント端末との互換性を最大化するためRSA SHA-1で自己署名されたルート証明書(*1)へチェーンする階層構造を採用しています。
今回これに加えて、SHA-256で自己署名されたルート証明書(*2)へチェーンする階層構造のオプション(SHA-2フルチェーン)を提供いたします。
これにより「ルート証明書の自己署名」を含め、全てのコンポーネントに対してSHA-1の利用停止ならびにSHA-2の採用を必須とする要件への対応を可能とします。(*3)
 
 *1 : RSA SHA-1で自己署名しているより普及したルート証明書
      GeoTrust Global CA、または GeoTrust Primary Certification Authority
 
 *2 : RSA SHA-2で自己署名した次世代のルート証明書
      GeoTrust Primary Certification Authority – G3
 
 *3 : 米国NISTガイドラインへの厳格な準拠を要する政府機関、金融機関などへの対応。 尚、通常のブラウザ(PCブラウザ、モバイル含む)においては、「ルート証明書の自己署名」にSHA-1を継続的に利用することが明示的に許容されています。

■ 取得方法について

ユーザポータルから「再発行」にて当該オプションを選択の上、再発行してください。手順は以下をご参照ください。
id=SO25491

■ 中間CA証明書ダウンロードサイト

https://www.geotrust.co.jp/resources/repository/intermediate.html
※証明書階層構造オプションをご利用になる場合は、適切な中間CA証明書をインストールする必要があります。
 

2.  CAA (DNS Certification Authority Authorization)対応について


■ 適用日

2015年9月15日(火)ご申請分より順次

■ 対象システム
  • ジオトラスト ストアフロント
  • パートナ専用GeoCenter

■ 対象製品

上記対象システムから発行する以下製品
  • ジオトラスト クイックSSLプレミアム     
  • ジオトラスト トゥルービジネスID
  • ジオトラスト トゥルービジネスID ワイルドカード
  • ジオトラスト トゥルービジネスID with EV
  • ラピッドSSL ワイルドカード

■ 概要

DNS Certification Authority Authorization(以下「CAA」)とは、ドメイン名の所有者/管理者がDNSサーバを用いて、自らが所有/管理するドメイン名に対して証明書の発行を許可する認証局を指定することが可能になる仕組みです。DNSにCAAレコードを指定することで、ドメイン名の所有者/管理者は、自らが管理するドメイン名に対して、意図しない認証局から証明書が発行されるリスクを低減することが可能になります。
 
CAAはIETF RFC 6844 draftとして策定されました。またCA/ブラウザフォーラムが定める業界基準文書「Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates」(以下「BR」)では、パブリック認証局に対して、CPS(認証局運用規定)にCAAへのサポートに関する宣言を公開することを義務付けています(*4)。
このたびシマンテックでは、こうした動向を踏まえてCAAへのサポートを開始いたします。

 *4 : BR Section 2.2. PUBLICATION OF INFORMATION
      https://cabforum.org/baseline-requirements-documents/

■ 対応内容

当リリース以降に対象システムを通じて申請いただいたSSLサーバ証明書のご申請に対して、弊社による申請の承認時に、シマンテックにてお客様のDNSゾーンファイル内のCAAレコードを確認(*5)いたします。
ご申請手順や、証明書インストール手順、またはクライアント端末への影響はございません。

 *5 : DNSゾーンファイル内にCAAレコードが存在しないことが確認された場合、
  これまでと同様に認証完了後、SSLサーバ証明書を発行いたします。
  詳細につきましては、FAQに随時公開いたします。
 
  FAQ 「Certification Authority Authorization (CAA)」
  id=SO28437
 

3. 本件に関するお問合せ先


   日本ジオトラスト株式会社 カスタマーサポート
   Email : support@geotrust.co.jp
   電話 : 03-5114-4134(音声ガイダンス後、2番を選択してください)
  ( 9:30~17:30 月曜日~金曜日 ただし祝祭日および年末年始を除く)
以上

----------------------------------------------------------------------
発行:日本ジオトラスト株式会社  
----------------------------------------------------------------------