2020年7月30日
デジサート・ジャパン合同会社
マネージドPKI for SSL管理者各位
【重要】2年間有効なSSLサーバ証明書の提供終了予定について
平素は弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。
さる 2020 年 2 月 25 日にご案内の「Safari ブラウザにおける証明書有効期限の
変更について」に関連して、Google Chrome およびMozilla Firefoxにおいても同様に
証明書の最大有効期間の変更を適用することを表明いたしました。これを受けまして、
弊社ではお申込みいただけるSSL/TLSサーバ証明書の有効期間を制限し、および
発行する証明書の最大有効期間を変更することといたしましたのでご案内申し上げます。
詳細につきましては下記をご覧ください。
弊社では引き続きサービスの向上に努めてまいりますので、今後ともご愛顧を賜りますよう、お願い申し上げます。
記
1. 対象製品
申請・発行いただける全てのパブリックSSLサーバ証明書
※ プライベートSSL証明書、コードサイニング証明書は対象外です。
2. 適用日
2020年8月28日(金)日本時間
3. マネージドPKI for SSLにおける証明書最大有効期間の扱いについて
3-1. 2年間有効な証明書の申請について
適用日以降の新規・更新申請時に有効期間「2年間」の選択肢はご選択いただけな
くなります。これ以降、ご申請いただける証明書製品の最大有効期間は「1年間」と
なります。なお、2年間有効な証明書は、8月27日(木)までに発行を完了いただきま
すようお願いいたします。(参照:項番3-2)
3-2. 発行する証明書最大有効期間について
・新規/更新申請について
適用日以降、2年間有効な証明書の申請、また1年間有効な証明書の更新申請時の
残余期間の引継ぎや、有効期間調整(SSLx)機能を含めて、最大397日(約13ヶ月)を
超える有効期間を持つ証明書の発行はできません。
398日以上の有効期間をもつ証明書を発行する際には、管理者の方は8月27日(木)
までに申請を承認し、発行を完了してください。
適用日以降に、398日以上の有効期間をもつ証明書申請に対して承認を行うと
エラーとなり証明書を発行することはできません。この場合、申請を却下し
再申請する、または、有効期間を調整してから承認を行ってください。
なお、これまで更新申請時には元証明書の残存期間を引き継いでおりましたが、
適用日以降は、元証明書の残存期間に関係なく、証明書の有効期間397日間を
超えない期間(約30日間)を上限といたします。
・再発行申請について
再発行申請時点で残余期間が398日(約13ヶ月)以上の有効期間を持つ証明書に対して
再発行はできません。
再発行をご希望の際には、CertCentralへアップグレードいただき、CertCentralより
再発行申請いただきますようお願い申し上げます。(参照:項番4-2)
4. CertCentral Enterpriseにおける証明書最大有効期間の扱いについて
4-1. 2年間有効な証明書の申請について
適用日以降新規・更新申請時に有効期間「2年間」の選択肢はご選択いただけなくなります。
これ以降、ご申請いただける証明書製品の最大有効期間は「1年間」となります。
なお、2年間有効な証明書を発行する場合は、8月27日(木)までに承認、および発行を
完了いただきますようお願いいたします。
4-2. 発行する証明書最大有効期間について
・新規/更新申請について
適用日以降、更新申請時の残余期間の引継ぎや、有効期間調整機能を含めて、
最大397日(約13ヶ月)を超える有効期間を持つ証明書の発行はできません。
398日以上の有効期間をもつ証明書を発行する際には、管理者の方は8月27日(木)
までに申請を承認し、発行を完了してください。
適用日以降に、398日以上の有効期間をもつ証明書申請に対して承認を行った場合、
証明書有効期間を397日間に短縮して発行します。
なお、CertCentral Enterpriseでは、ご申請時の情報をオーダの有効期間として
別途保持し、後日オーダの有効期間が397日以内になった時点で再発行の手続き
をいただきますと、オーダの有効期間終了日を持つ証明書を取り直していただく
ことが可能です。
・再発行申請について
再発行申請時点で残余期間が398日(約13ヶ月)以上の有効期間をもつ証明書に対して
再発行する場合は、証明書の有効期間を397日間に短縮いたします。
なお、CertCentralでは、お客様の再発行前の元の証明書(以下「オリジナル証明書」)の
有効期間終了日の情報をオーダ情報として保持しております。これ以降、オーダの
有効期間終了日の397日前を過ぎた時点で再び再発行申請をいただくことで、
オリジナル証明書と同一の有効期間終了日を持つ証明書をとり直していただくことが
可能です。
例: 再発行申請の例
○オリジナル証明書(以下、「証明書A」);
有効期間:2020年1月 1日 ~ 2021年 12月 31日 (2年間)
ケース1 : 2020年8月28日以降、マネージドPKI for SSLで証明書Aに対して再発行
申請した場合
有効期間: 397日間を超えているため発行処理時にエラー
ケース2 : 2020年8月28日以降、CertCentralで証明書Aに対して再発行
申請した場合
有効期間: 2020年 8月30日 ~ 2021年 10月 1日 (以下、「証明書B」
(終了日は発行時点から397日(約13ヶ月)後に短縮した状態で発行)
○上記ケース2で有効期間が短縮された場合も、「証明書A」のオーダの
残余期間が397日以下となった後に、当該オーダに対して再び再発行
処理を行うことで元の証明書Aの有効期間終了日まで有効な証明書を
再発行することができます。
ケース3 : 2020年12月 1日に証明書Aに対して再発行申請・発行された場合、
有効期間:2020年 12月 1日 ~ 2021年 12月 31日
(終了日は証明書Aの有効期間終了日と同一)
※ 別途CertCentralの証明書最大有効期間に関するご案内がございます。
CertCentralへアップグレードを完了された方には重複となる可能性がありますが
何卒ご了承ください
5. ご参考:
Apple社は、さる2月19日に業界標準グループであるCA/B フォーラムの定例会議で、
Safariは、2020年9月1日以降に発行されるパブリック証明書は、有効期間398日未満(1年間と
更新猶予期間)のSSL/TLS証明書のみを信頼するようにすると発表しました。
この変更はSafariブラウザに加え、HTTPS接続を行うiOSアプリなどにも影響が及びます。
また、Apple社の発表に賛同する形で、Mozilla社、およびGoogle社も同様に証明書の
最大有効期間を398日未満に制限することを表明しています。
Apple社 「About upcoming limits on trusted certificates」
https://support.apple.com/en-us/HT211025
Google社「Certificate Lifetimes」
https://chromium.googlesource.com/chromium/src/+/master/net/docs/certificate_lifetimes.md
Mozilla社 「Reducing TLS Certificate Lifespans to 398 Days」
https://blog.mozilla.org/security/2020/07/09/reducing-tls-certificate-lifespans-to-398-days/
ブラウザ各社の決定について、DigiCertは有効期限が短いことによりエコシステムの
セキュリティが向上することを理解し、証明書の有効期限管理を自動化するための
ツール強化や複数年証明書ライセンス購入サービスの提供を通じてお客様の証明書
ライフサイクル管理の効率化を支援し続けてまいります。
※ なお、当変更は9月1日(GMT)以降に発行される証明書に適用されるものであり、
8月31日までに発行された証明書に関してはその影響を受けず、引き続き証明書有効期間
終了までご利用いただけます。
※ 各社の取り組みの背景については以下のフィッシング対策協議会の
ウェブサイトでも詳しく説明されておりますので併せて参照ください。
「証明書の有効期限の短縮について」
https://www.antiphishing.jp/news/info/20200714.html
6. 本件に関するお問合せ先はこちら