質問

Alert ID : ALERT2445

【続報】 【重要】マネージドCA対応に伴うSSLサーバ証明書製品ならびに申請システム等における仕様変更などのご案内

INFORMATION

Description

2017年11月24日

マネージドPKI for SSL管理者各位

デジサート・ジャパン合同会社


【続報】【重要】マネージドCA対応に伴うSSLサーバ証明書製品ならびにマネージドPKI for SSLにおける仕様変更などのご案内


平素より弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

さる2017年11月17日にご案内の「【続報】【重要】マネージドCA対応に伴うSSLサーバ証明書製品ならびにマネージドPKI for SSLにおける仕様変更などのご案内」について、証明書製品仕様などの変更適用予定日が変更となりましたので、ご案内申し上げます。なお、マネージドCAに伴い認証手順の変更点概要をあわせてご案内申し上げます。

詳細につきましては下記をご覧ください。

弊社では引き続きサービスの向上に努めてまいりますので、今後ともご愛顧を賜りますよう、お願い申し上げます。



1. 【適用予定日変更】証明書製品仕様の変更適用予定日


前回のご案内内容 : 2017年 11月 29日(水)(日本時間)
新たなご案内内容 : 2017年 12月 1日(金)(日本時間)

※ 弊社都合により再度変更させていただく場合、改めてご案内申し上げます。
※ 本仕様変更に伴うシステム停止ならびに発行済みのSSLサーバ証明書への影響はございません。


2. 【適用予定日変更】申請システム(マネージドPKI for SSL)の仕様変更変更適用予定


前回のご案内内容 : 2017年 11月 21日(火)(日本時間)
新たなご案内内容 : 2017年 12月 1日(金)(日本時間)

※ 事後の連絡となりましたことにつきまして、深くお詫び申し上げます。
※ 弊社都合により再度変更させていただく場合、改めてご案内申し上げます。
※ 本仕様変更に伴うシステム停止ならびに発行済みのSSLサーバ証明書への影響はございません。


3. 【追加のご案内】マネージドCA対応に伴う認証方式の変更について


12月1日(予定)より、マネージドPKI for SSLサービスアカウントおよびドメイン名の認証プロセス認証手順を変更いたします。なお、変更が生じる場合、および各変更点の詳細につきましては、別途ご案内申し上げます。
 

3-1. ドメイン名の検証について

これまでは申請団体とドメイン名所有者が相違していた場合にドメイン名利用権確認のメールを送信していましたが、今後は申請団体がドメイン名の所有者の場合にもドメインの使用権等および証明書の発行を検証するためのメールを送信しております。
なお、送付先はWHOISに掲載されている連絡先メールアドレス、および"規定ホスト名 + @ ドメイン名" 宛に送信いたします。

※規定ホスト名とは
admin@, administrator@,webmaster@, hostmaster, postmaster@
 

3-2.申請責任者様への電話認証について

企業認証製品におきましては、ドメイン名の検証と証明書発行の確認を兼ねて行うため、ドメイン名を検証するためのメールに承認いただいた場合は申請責任者ご本人様への電話認証は実施いたしません。
EV認証製品におきましてはこれまでどおり申請責任者ご本人へ電話にて確認をさせていただきます。
 

3-3.EV証明書 オンラインでの利用規約同意確認について

申請責任者様宛にメール配信をしオンラインにて利用規約への同意を表明いただいております。今後はご案内の手順、メール送付元、件名、また本文記載事項等が変更となる見込みです。詳細は確定次第ご案内申し上げます。

注意事項
3-3.の変更は、以下製品をご利用いただいている場合に限ります

  • シマンテック セキュア・サーバID EV
  • シマンテック グローバル・サーバID EV


4. 【追加のご案内】マネージドCA対応に伴う再認証について


お客様のサービスアカウントに対する再認証を実施しておりますが、サービスアカウントで取り扱う製品が、企業認証製品のみの場合、申請責任者様の在籍確認をもって認証を完了し、申請責任者様に電話を転送いただかなくとも認証を完了する場合がございます。
なお、EV認証製品の場合は、これまでどおり申請責任者ご本人様への電話による認証を実施させていただいております。


5. (ご参考) 前回ご案内の内容


【続報】【重要】マネージドCA対応に伴うSSLサーバ証明書製品ならびに申請システム等における仕様変更などのご案内
id=ALERT2445

マネージドPKI for SSLにおける先行再認証業務の実施について(FAQ)
id=SO29614

デジサート社の買収について(FAQ)
https://www.websecurity.symantec.com/ja/jp/digicert-and-symantec-faq/faqs


6. 本件に関するお問合せ先


デジサート・ジャパン合同会社 (旧 合同会社シマンテック・ウェブサイトセキュリティ)

▽申請システムに関するお問い合わせ
Email:mssl_support_jp@symantec.com
Tel:03-5114-4137
(認証に関するお問い合わせ:1番、テクニカルサポート:2番)
受付時間:土日祝日および年末年始を除く平日 9:30 - 17:30
※ ゴールドサポートは24時間/365日受付

▽認証に関するお問い合わせ
デジタルIDセンター
Email:entauth_support_japan@symantec.com
Tel:03-5114-4137#音声ガイダンス1→1をご選択ください
受付時間:土日祝日および年末年始を除く平日 9:30 - 17:30

以上
 



2017年11月17日

マネージドPKI for SSL管理者各位

デジサート・ジャパン合同会社


【続報】【重要】マネージドCA対応に伴うSSLサーバ証明書製品ならびにマネージドPKI for SSLにおける仕様変更などのご案内


平素より弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

さる2017年10月26日にご案内の「【重要】マネージドCA対応に伴うSSLサーバ証明書製品ならびにマネージドPKI for SSLにおける仕様変更などのご案内」について、証明書製品仕様の変更適用予定日が確定いたしましたので、ご案内申し上げます。
また、前回ご案内の内容の一部(ルート証明書ならびに中間CA証明書についてなど)に変更がございますので、併せてご案内を申し上げます。
詳細につきましては下記をご覧ください。

弊社では引き続きサービスの向上に努めてまいりますので、今後ともご愛顧を賜りますよう、お願い申し上げます。



1. 【適用予定日確定】証明書製品仕様の変更適用予定日

前回のご案内内容 : 2017年 11月下旬

新たなご案内内容 : 2017年 11月 29日(水)(日本時間)

※ 弊社都合により変更する場合、改めてご案内申し上げます。
※ 本仕様変更に伴うシステム停止ならびに発行済みのSSLサーバ証明書への影響はございません。


2. 【前回ご案内内容からの変更】ルート証明書ならびに中間CA証明書について

2-1. 背景

2017年10月31日(米国時間)、DigiCert社はシマンテックのウェブサイトセキュリティ事業とその関連するPKIソリューションの買収手続きを完了し、SSL/TLSおよびPKIソリューションのトッププロバイダとなりました。
これを受けて、Managed CA対応後の新しいインフラから発行するSSLサーバ証明書がチェーンする中間証明書ならびにルート証明書について、お客様により高いルート証明書普及率や利用実績などのメリットをご享受いただけることなどを踏まえ、下記の通り内容を変更させていただくこととなりました
のでご案内申し上げます。
 

2-2. 前回ご案内内容からの変更点

前回のご案内内容(抜粋) : 「Managed CAへの移行後の新しいインフラでは、新たなルート認証局ならびに中間認証局を構築いたします。」

新たなご案内内容 : Managed CAへの移行後の新しいインフラから発行するSSLサーバ証明書は、既にブラウザやスマートフォンに広く普及する下記のデジサートのルート証明書にチェーンする階層構造となります。

<EV SSL証明書向け ルート証明書>

  • DigiCert High Assurance EV Root CA
     

<企業認証(OV)証明書向け ルート証明書>

  • DigiCert Global Root CA
     

新しいルートおよび中間CA証明書の階層構造につきましては以下をご参照ください。Managed CAへの移行後の各製品別の中間証明書ならびにルート証明書は下記のページからダウンロードいただけます。

[ルート/中間の階層構造について(詳細)]
id=INFO4696

また、携帯電話(フィーチャフォン)からの接続性をカバーする必要があるウェブサイトでは、携帯電話にも組み込まれた下記のデジサートのルート証明書との接続を可能にするクロスルート証明書を併せてご提供いたします。

  • Baltimore CyberTrust Root
     

クロスルート証明書の詳細につきましては以下をご参照ください。

[Managed CA対応リリース後のクロスルートについて]
id=INFO4699

※ 新しい階層構造のイメージ図やクライアント対応状況などの詳細につきましては、以下補足資料のpage7~12を併せてご参照ください。

[補足資料] 「Managed CA対応」における製品仕様変更点について
id=ALERT2445#attachment

※ Managed CAへの移行後に提供する上記のクロスルート証明書は、現時点でご提供中のクロスルート証明書とは異なるものです。既にクロスルート証明書をご利用されており今後も継続してご利用をご希望の場合も、Managed CA対応後に発行するSSLサーバ証明書をインストールする際には
新しい中間証明書と併せて新しいクロスルート証明書を入手しインストールしてください。

※ すでに発行済みのSSLサーバ証明書をご利用中は、従来の中間証明書をご利用ください。


3. 【適用予定日変更ならびに追加のご案内】申請システム(マネージドPKI for SSL)の仕様変更について

3-1. 適用実施日について

前回のご案内内容 : 2017年 11月 15日(水)(日本時間)

新たなご案内内容 : 2017年 11月 21日(火)(日本時間)

※ 事後の連絡となりましたことについてお詫び申し上げます。
※ 弊社都合により変更する場合、改めてご案内申し上げます。
※ 本仕様変更に伴うシステム停止ならびに発行済みのSSLサーバ証明書への影響はございません。
 

3-2. 追加となる変更点 : 同一DNのSSLサーバ証明書発行制限について

Managed CA対応後のマネージドPKI for SSLでは、SSLサーバ証明書の申請・発行における同一DN(ディスティングイッシュネーム)に対する制限を下記の通り変更いたします。

変更前 : 同一製品(正確には単一の中間認証局の配下)では、同一DNのSSLサーバ証明書を複数発行することが出来ませんでした。(同一DN制限あり)

変更後 : 製品(または中間認証局)の異同に関わらず、同一DNのSSLサーバ証明書を複数発行することが可能となります。(同一DN制限なし)


4. (ご参考) 前回ご案内の内容


前回ご案内の内容につきましては下記のURLをご参照ください。

「【重要】マネージドCA対応に伴うSSLサーバ証明書製品ならびに申請システム等における仕様変更などのご案内」
id=ALERT2445
 

5.本件に関するお問合せ先


合同会社シマンテック・ウェブサイトセキュリティ
Email:mssl_support_jp@symantec.com
Tel:03-5114-4137
(認証に関するお問い合わせ:1番、テクニカルサポート:2番)
受付時間:土日祝日および年末年始を除く平日 9:30 - 17:30
※ゴールドサポートは24時間/365日受付

------------------------------------------------------------------------
発信元 : 合同会社シマンテック・ウェブサイトセキュリティ
------------------------------------------------------------------------
 



2017年 11月 9日追記

本ページでご案内しておりますマネージドCAのルート証明書、中間CA証明書、クロスルート証明書は今後変更が予定されております。
変更後の新たなルート証明書、中間CA証明書、クロスルート証明書は、近日中に改めてすべてのお客様へご案内申し上げます。
弊社では、引き続きサービスの向上に努めてまいりますので、今後ともご愛顧を賜りますよう、お願い申し上げます。
 


 

2017年 10月 26日

 

マネージドPKI for SSL管理者各位

合同会社シマンテック・ウェブサイトセキュリティ


 【重要】マネージドCA対応に伴うSSLサーバ証明書製品ならびに申請システム等における仕様変更などのご案内

 

平素より弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

このたび弊社では、SSLサーバ証明書製品の認証業務をDigiCert社とのパートナーシップに基づいて統合し認証レベルをより一層強化すると共に、SSLサーバ証明書を発行するためのPKIインフラを刷新し、ブラウザーコミュニティによる要求を満たすことでGoogle Chrome等の警告表示によるお客様への影響を回避することを目的とするSSLサーバ証明書ならびにマネージドPKI for SSLの仕様変更を実施させていただくこととなりましたので、ご案内申し上げます。

また、この移行に伴うマネージドPKI for SSLにおける申請・発行業務への影響を回避する目的で、先行してご利用中のアカウントの再認証業務を開始させていただきますので、併せてご案内申し上げます。

詳細につきましては下記をご覧ください。

弊社では引き続きサービスの向上に努めてまいりますので、今後ともご愛顧を賜りますよう、お願い申し上げます。



1. 変更の背景


(補足資料のpage3-6を併せてご参照ください)

さる2017年6月5日付けのレター「Symantec Website Securityからの重要なお知らせ」等でご案内の通り、弊社ではブラウザーコミュニティによる提案への対応の検討を行ってまいりました。この中で示唆されたGoogle Chromeによる警告表示などの問題によるお客様のウェブサイトの継続性への影響を回避する目的で、DigiCert社とのパートナーシップに基づく認証業務の統合、ならびに新しいPKIインフラへの移行を行うことを決定いたしました。(以下、統合後の認証業務モデルならびに移行後の新しいインフラを総称し「Managed CA」と呼びます)

以下にご案内する証明書製品ならびに申請システムの各種仕様変更は、この一連のManaged CAへの移行の取組みの一環として実施させていただくものです。

Managed CAへの移行ならびに各種仕様変更の概要については以下の補足資料を合わせてご参照・ご活用ください。

[補足資料] 「Managed CA対応」における製品仕様変更点について
id=ALERT2445#attachment

Google Chromeによる警告表示と回避方法の詳細についてはこちらをご参照ください。

[シマンテック ブログ] Symantec SSL/TLSサーバ証明書の入れ替えに関する情報について
https://www.symantec.com/connect/blogs/symantec-ssltls


2. 証明書製品仕様の変更について


(補足資料のpage7-14を併せてご参照ください)

2-1. 変更適用日

2017年 11月下旬

※日程を確定次第、別途ご案内いたします。

2-2. 対象システム

マネージドPKI for SSL

2-3. 対象製品

対象システムから発行する全てのSSLサーバ証明書製品

※ プライベートSSL、コードサイニング証明書を除きます

2-4. 変更内容

2-4-1. ルート証明書ならびに中間CA証明書の変更

Managed CAへの移行後の新しいインフラでは、新たなルート認証局ならびに中間認証局を構築いたします。ここから発行されるSSLサーバ証明書は、この新しいルート証明書ならびに中間証明書によって検証されます。
また、各種ブラウザ、スマートフォンや携帯端末などとの接続性を維持する目的で、従来より普及するルート証明書にチェーンするクロスルート証明書を提供します。
Managed CAへの移行後の新しいSSLサーバ証明書をサーバにインストールする際には、新しい中間証明書ならびにクロスルート証明書の両方をインストールください。
 
新しいルートおよび中間CA証明書の階層構造につきましては以下をご参照ください。

[ルート/中間の階層構造について - Part1]
id=INFO4596

[ルート/中間の階層構造について - Part2 (詳細)]
id=INFO4597

※ すでに発行済みのSSLサーバ証明書をご利用中は、従来の中間CA証明書をご利用ください。

2-4-2. SSLサーバ証明書のプロファイル変更

Managed CAへの移行後の新しいSSLサーバ証明書では、証明書プロファイルに以下の変更が適用されます。

  • Subject Key Identifier (サブジェクトキー識別子) : フィールドを追加
  • Certificate Policies (証明書ポリシー) : ポリシー参照URL変更、他
  • Signed Certificate Timestamp : 「登録なし」の場合にSCTを含まない
     

変更内容の詳細につきましてはこちらをご覧下さい。
 
[Managed CA対応リリース後の証明書階層構造における証明書プロファイルの変更について]
id=INFO4648

2-4-3. OCSPおよびCDPの変更

Managed CAへの移行後の新しいSSLサーバ証明書では、OCSP(オンライン証明書ステータスプロトコル)レスポンダならびにCDP(CRL(証明書失効リスト)配布ポイント)が変更されます。

変更内容の詳細につきましてはこちらをご覧下さい。

[Managed CA対応リリース後のTLS/SSL証明書の OCSPおよびCRLについて]
id=INFO4647

2-4-4. その他の変更

Managed CAへの移行後の新しいSSLサーバ証明書製品では、上記の点と併せて以下の変更が適用されます。

  • CT(Certificate Transparency)における「CTへ登録する情報の一部を非公開(Name Redaction)とする」オプションの提供終了:
    SSLサーバ証明書の申請時に「CTへ登録する情報の一部を非公開(Name Redaction)とする」はご選択いただけなくなります。Managed CAへの移行後は、CTログサーバへ登録については「登録する」「登録しない」のいずれかをご選択いただけるようになります。
     
  • シールインサーチの一部サービスの終了:
    iLunascapeおよびSleipnir各ブラウザ上でのシールインサーチ表示を終了させていただきます。
    ※iLunascapeおよびSleipnir各提供事業者との契約満了に伴うサービス終了となります。


3. 申請システム(マネージドPKI for SSL)の仕様変更について


(補足資料のpage15-16を併せてご参照ください)

3-1. 変更適用日

2017年 11月 15日(水)(日本時間)

※ 弊社都合により変更する場合、改めてご案内申し上げます。
※ 本仕様変更に伴うシステム停止ならびに発行済みのSSLサーバ証明書への影響はございません。

3-2. 変更内容

3-2-1. 「代替方式を取得」機能の提供終了

ご利用中の1枚の証明書から署名アルゴリズムの異なる証明書を複数入手いただける「代替方式を取得」機能の提供を終了させていただきます。

3-2-2. アルゴリズムオプション「DSA」の提供終了

SSLサーバ証明書のマルチアルゴリズム機能のうち、署名アルゴリズムDSAを用いたオプションの提供を終了いたします。


4. 先行再認証業務の実施


上述の各変更等に先立って、当移行に伴うマネージドPKI for SSLにおける申請・発行業務への影響を回避し、証明書の申請を管理者が承認することで即時にSSLサーバ証明書を取得いただける状態を維持する目的で、お客様がご利用中のアカウントの再認証業務を開始させていただきます。

4-1. 先行再認証実施スケジュール

2017年 10月下旬

4-2. 先行再認証の内容

お客様がご利用中のアカウントの申請団体・組織情報やドメイン名の利用権の確認(再認証)をDigiCert社によって実施させていただきます。

先行再認証が完了することで、Managed CAへの移行後も、証明書の申請を管理者が承認することで即時にSSLサーバ証明書を取得いただける状態を維持しつつ、新しい仕様のSSLサーバ証明書をご利用いただくことが可能となります。
先行再認証の詳細につきましては併せてこちらをご覧下さい。

[マネージドPKI for SSLにおける先行再認証業務の実施について]
id=SO29614

尚、先行再認証業務を実施させていただくにあたり、お客様の追加費用負担は必要ございません。

5.本件に関するお問合せ先


合同会社シマンテック・ウェブサイトセキュリティ
Email:mssl_support_jp@symantec.com
Tel:03-5114-4137
(認証に関するお問い合わせ:1番、テクニカルサポート:2番)
受付時間:土日祝日および年末年始を除く平日 9:30 - 17:30
※ゴールドサポートは24時間/365日受付

------------------------------------------------------------------------
発信元 : 合同会社シマンテック・ウェブサイトセキュリティ
------------------------------------------------------------------------