質問

Advanced Search

Alert ID : ALERT2660

Last Modified : 04/26/2019

【重要】Java7以降およびWindows10/Windows Server 2016環境におけるシマンテックのルート証明書の無効化(2019年4月(予定))について

Description

2019年2月4日

マネージドPKI for SSL管理者各位

デジサート・ジャパン合同会社

【重要】Java7以降およびWindows10/Windows Server 2016環境におけるシマンテックのルート証明書の無効化(2019年4月(予定))について

 

平素は弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

オラクル社は、2019年4月17日(日本時間)以降に発行されるSSL/TLSサーバ証明書を対象として、JDKバージョン7以上の環境において、シマンテックルート証明書の無効化を適用することを表明しております。

また、マイクロソフト社は、2019年4月30日(日本時間)以降に発行されるSSL/
TLSサーバ証明書を対象に、Windows10およびWindows Server2016環境において、同様にシマンテックルート証明書の無効化を適用することを表明しております。

 

(参考)各ブラウザにおいて旧シマンテック発行のSSL/TLSサーバ証明書がセキュリティ警告の対象となる時期について
https://knowledge.digicert.com/ja/jp/generalinformation/INFO4983.html

弊社のSSL/TLSサーバ証明書は既にデジサートのルート証明書を用いて検証されるよう仕様変更を完了しておりますが、シマンテックG5ルート証明書(*1)にチェーンするクロスルート証明書(*2)を追加取得し、ご利用されている場合、無効化の影響が発生する可能性がございます。

*1 : シマンテックG5ルート証明書(以下「G5ルート」)
発行先(Subject CN):VeriSign Class 3 Public Primary Certification Authority - G5
有効期間終了日 : 2036年7月16日(GMT)
シリアル番号:18 da d1 9e 26 7d e8 bb 4a 21 58 cd cc 6b 3b 4a

*2 : G5ルートとのクロスルート設定用証明書(以下「G5用クロス」)
発行元(Issuer CN): VeriSign Class 3 Public Primary Certification Authority - G5
発行先(Subject CN):DigiCert Global Root G2

 

このご案内は、上記G5用クロスを本日までにご取得されたお客様に送付しております。以下に影響が発生する条件や回避方法などの詳細をご案内申し上げますので、ご確認の上、必要に応じてご対応をいただけますようお願い申し上げます。

弊社では、引き続きサービスの向上に努めてまいりますので、今後ともご愛顧を賜りますよう、お願い申し上げます。

1. 条件

サーバ側のSSL/TLSサーバ証明書について、G5ルート証明書にチェーンするようG5クロス証明書を併せてサーバにインストールしている以下の要領で取得いただいた弊社SSL/TLSサーバ証明書製品が対象となります。

〇対象製品
・シマンテック グローバル・サーバID EV
・シマンテック セキュア・サーバID EV
・シマンテック グローバル・サーバID
・シマンテック セキュア・サーバID
※ ワイルドカード製品を含みます。
※ コードサイニング証明書、セキュアメールIDは対象外です。

〇取得方法
・証明書階層構造=「SHA-256 with RSA & SHA-256 ルート」(別称「SHA-2フルチェーン」)

 

2. 警告/エラーを回避いただくために必要なアクション

警告/エラーを避けていただくためには、以下のいずれかの方法にて、無効化の適用条件を回避いただく必要がございます。

●方法1 : 2019年4月の無効化の適用開始予定日以前に「可能な限り長い有効期間の証明書」を取得いただく

該当プラットフォームへの適用開始日より前に対象製品を申請・発行を完了いただき、サーバへインストールいただくことで、その証明書の有効期限を迎えるまでは警告/エラーが表示されることを回避いただくことが可能です。

※ 2年間有効な証明書を2019年4月にご取得いただいた場合、最大2021年4月頃まで影響を回避いただくことが可能です。なお、820日間を超える有効期間の証明書は発行できません。

※ プラットフォームごとのシマンテックルート無効化の適用開始日
A : JDKバージョン7以上の環境 : 2019年4月17日 (日本時間)

(参考)Oracle's Plan for Distrusting Symantec TLS Certificates in the JDK(英語)
https://blogs.oracle.com/java-platform-group/jdk-distrusting-symantec-tls-certificates

B : Windows10およびWindows Server2016環境 : 2019年4月30日 (日本時間)

(参考)Microsoft partners with DigiCert to begin deprecating Symantec TLS certificates(英語)
https://cloudblogs.microsoft.com/microsoftsecure/2018/10/04/microsoft-partners-with-digicert-to-begin-deprecating-symantec-tls-certificates/

 

●方法2 : クロスルート証明書の削除

クロスルート証明書を削除いただき、無効化の対象外であるデジサートのルート証明書のみにチェーンするよう設定いただくことで、回避いただくことが可能です。(ただしデジサートのルート証明書が搭載されていないクライアント環境からは接続できなくなります)。

(参考)Knowledge Base - クロスルート設定用証明書の削除方法
https://knowledge.digicert.com/ja/jp/solution/SO28077.html

 

3. 本件に関する問い合わせ先

デジサート・ジャパン合同会社
(旧合同会社シマンテック・ウェブサイトセキュリティ)
テクニカルサポート

〇ストアフロントをご利用のお客様
Email:server_info_jp@digicert.com
電話:03-4578-1368(自動音声ガイダンス3)
受付時間:土日祝日および年末年始を除く平日 9:30 - 17:30

〇マネージドPKI for SSLのお客様
Email:mssl_support_jp@digicert.com
電話:03-4578-1365(自動音声ガイダンス2)
受付時間:土日祝日および年末年始を除く平日 9:30 - 17:30

以上。