このページの内容は最新情報ではありません。 (続報) SSL/TLSサーバ証明書のルート証明書、および中間CA証明書変更に関するご案内 |
2023年3月9日(木)、日本時間午前2時より、TLS/SSL証明書を第五世代ルート(G5ルート)および中間CA証明書階層への移行を開始します。
ブランド名 | 認証タイプ | 製品名 |
DigiCert | OV |
|
DigiCert | EV |
|
ジオトラスト | OV |
|
ジオトラスト | EV |
|
ジオトラスト | DV |
|
RapidSSL | DV |
|
業界では現在、認証局(CA)に対し、多目的(1注意)ルートおよび中間CA証明書のチェーン形態から、単一目的用途の証明書チェーンへの証明書発行範囲を縮小させることを求められています。この変更は、ルート証明書、中間CA証明書、エンドエンティティ証明書に関する業界およびCA/Browser Forumガイドラインの変更による影響を緩和させるものです。詳細については、MozillaのCA/優先順位付けを参照してください。(外部英語サイト)
新しい用途別のG5ルートは、各製品に特化した中間CA証明書にチェーンさせ、その中間CA証明書から単一目的のエンドエンティティ証明書のみを発行するようになります。
[ルート証明書] ルート証明書は、パブリック証明書を信頼するため一番重要な役割を果たしています。認証局は、オペレーティングシステム、ブラウザ、およびその他のアプリケーションと連携して、ルート証明書がトラストストアに含まれるようにし、パブリック証明書が信頼されるようにします。認証局は、中間CA証明書を発行するためにパブリックルート証明書を使用します。認証局は、パブリックTLS証明書を発行するためにパブリックルート証明書を使用するわけではありません。
[中間CA証明書]中間CA証明書は、TLSやその他のデジタル証明書を発行するために使用します。中間CA証明書は、TLS証明書を信頼できるルート証明書にチェーンし、ブラウザや他のアプリケーションがそれを信頼できるようにします。
ご参考:「SSL 証明書とは」 をご参照ください。
[新しい中間CA証明書]上記の適応日以降に証明書の申請、更新、そして再発行を行いTLS証明書をインストールする場合には、デジサートが提供する最新の中間CA証明書をご利用いただきますようお願い致します。
尚、下記のいずれかが行われている場合には注意が必要です:
上記のいずれかを行っている場合は、2023年3月8日までにご利用環境の見直し、ならびに更新されることをお勧めします。中間CA証明書のピン留めやハードコーディング化の見直しが難しい場合には、新しい中間CA証明書から発行された証明書が信頼できるように(中間CA証明書と信頼できるルート証明書にチェーンできるように)必要な変更を加えていただきますようお願い致します。
[新しいルート証明書]
下記のいずれかが行われている場合には注意が必要です:
上記のいずれかを行っている場合は、2023年3月8日までにご利用環境の見直し、ならびに更新されることをお勧めします。ルート証明書のピン留めやハードコーディング化を停止いただき、新しいデジサートG5ルート証明書をローカルのトラストストアに配布し、新しいG5ルート証明書にチェーンアップされた証明書が信頼されるようにします。
新しいG5ルートが旧来のデジサートルート証明書同様に普及するまでの間、G5ルート証明書にチェーンする証明書から発行される各TLS/SSL証明書に含まれる中間CA証明書とともに、デジサートが提供のクロスルート証明書をインストールいただくことを推奨いたします。
※クロスルート証明書のインストール方法については、近日中に公開させていただきます。
新しいルート証明書と中間CA証明書の運用の開始後も、既存の証明書に影響を与えることはありません。上記期日以前に発行されたすべての証明書の有効期限が切れるまで、古い中間CA証明書とルート証明書が証明書ストアから削除されることはありません。
ただし、2023年3月8日以降に新規、更新、そして再発行申請される場合は、既存の証明書に影響を及ぼすことが予測されます。デジサートは、新しいG5ルート証明書および中間CA証明書階層から新規、再発行、そして複製申請された証明書の発行を行います。
2023年3月8日以降に新規、更新、そして再発行または複製申請された証明書をインストールする場合には、デジサートが新しく提供する最新の中間CA証明書およびクロスルート証明書をご利用いただきますようお願い致します。
デジサートが提供する中間CA証明書をインストールする
証明書をインストールする際、デジサートが提供する最新の中間CA証明書をご利用いただきますようお願い致します。電子証明書ライフサイクル管理のベストプラクティスとして、証明書のインストール時には、End-Entity証明書とあわせて中間CA証明書も必ず最新のものに入れ替えていただくようご案内しております。
デジサートが提供のクロスルート証明書をインストールする
新しいG5ルートが既存のデジサートのルート証明書と同様に普及するまでは、G5ルート証明書階層から発行された各TLS/SSL証明書に含まれる中間CA証明書とともに、デジサートが提供するクロスルート証明書をインストールする必要があります。
デジサートは、新しいルート証明書チェーンから発行された証明書が信頼できるように、このベストプラクティスを推奨しています。上記の「クロスサインルートをインストールする」を参照してください。
設定環境の見直しに時間が必要な場合はどうすればいいですか?
準備に時間が必要な場合、変更前のルート証明書と中間CA証明書を継続して使用することができます。変更前のルート証明書と中間CA証明書を引き続きご利用いただけるようアカウント設定をさせて頂きます。お手数ですが弊社テクニカルサポートまでご連絡いただきますようお願い致します。
2024年にMozillaは4つのデジサートルート証明書を信頼しなくなります
業界においては単一目的のルート証明書への移行を推奨しており、古いルート証明書と中間CA証明書への移行を遅らせることにより、新しいG5ルートそして中間CA証明書への移行への準備期間にかけられる時間が短くなります。
2024年、Mozillaは4つのデジサートルート証明書を信頼しなくなることを発表しています。ご利用中のTLS/SSL証明書が下表のいずれかのルート証明書から発行されている場合にはルートが信頼されなくなる前に、新しいG5ルート証明書への移行が必要です。
ルート証明書 | Mozillaがルート証明書を信頼しなくなる日* |
Baltimore CyberTrust Root | 2024年4月15日 |
DigiCert Assured ID Root CA | 2024年11月10日 |
DigiCert Global Root CA | 2024年11月10日 |
DigiCert High Assurance EV Root CA | 2024年11月10日 |
*上記の日付以前に発行されたTLS/SSL証明書は、有効期限が切れるまで信頼されます。ただし、この日付以降に発行された新しい証明書、更新、再発行や複製された証明書を含めて信頼されなくなりますのでご注意ください。)
下記の各証明書はグローバル リポジトリ(英語サイト)で提供しています。
新しいルート証明書 | 有効期限 |
DigiCert TLS ECC P384 Root G5 | January 14, 2046, at 23:59:59 UTC |
DigiCert TLS RSA4096 Root G5 | January 14, 2046, at 23:59:59 UTC |
G5中間CA証明書
新しい中間CA証明書 | チェーンするルート証明書 |
DigiCert G5 TLS ECC SHA384 2021 CA | DigiCert TLS ECC P384 Root G5 |
DigiCert G5 TLS RSA4096 SHA384 2021 CA1 | DigiCert TLS RSA4096 Root G5 |
GeoTrust G5 TLS ECC P-384 SHA384 2022 CA1 | DigiCert TLS ECC P384 Root G5 |
GeoTrust G5 TLS RSA4096 SHA384 2022 CA1 | DigiCert TLS RSA4096 Root G5 |
RapidSSL G5 TLS ECC P-384 SHA384 2022 CA1 | DigiCert TLS ECC P384 Root G5 |
RapidSSL G5 TLS RSA4096 SHA384 2022 CA1 | DigiCert TLS RSA4096 Root G5 |
本件に関するお問合せ先はこちら