質問

Advanced Search

Alert ID : ALERT718

Last Modified : 06/04/2018

Baseline Requirements発効に伴う認証プロセス変更および証明書プロファイル変更のご案内

Description

2012年5月21日(修正公開日:2012年6月26日)

お客様各位

拝啓 平素は弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

去る2012年4月16日にご連絡いたしましたBaseline Requirements※1発効に伴うSSLサーバ証明書製品の仕様変更等に関連して、追加のご案内を申し上げます。

日本ベリサインでは引続きサービス改善に努めて参りますので、今後ともご愛顧賜りますようお願い申し上げます。

敬具

1. 認証プロセスの変更

1-1. ドメイン名使用権確認方法の変更

  • 対象製品:セキュア・サーバID、グローバル・サーバID、トラストシール
  • 適用日時:2012年7月1日(日)以降に申請いただく証明書
  • 変更内容:Baseline Requirement (以下、BR) セクション11.1の規定に基づいて、対象のSSLサーバ証明書の申請時に、申請団体とWHOIS上のドメイン名所有者(Registrant)が同一で ない場合、以下の順番に従って、日本ベリサインがドメイン名使用権の有無を確認いたします。
    1. ドメイン名登録者(WHOIS記載の”所有者:Registrant”または、”管理担当者:Administrative”または、”技術担当者:Technical”の連絡先)へEメールを用いて確認
    2. ドメイン名の前に以下の文字列を付けたメールアドレスへEメールを用いて確認
      • admin@
      • administrator@
      • webmaster@
      • hostmaster@
      • postmaster@
    3. ドメイン名所有者への連絡およびドメイン名所有者による、以下の情報を含む書類の提出
      • ドメイン名所有者のレターヘッドを含む書式
      • コモンネーム(FQDN)の記載
      • サーバID申請団体に使用権を認めることを明記
      • 部長職相当以上の役職の方の署名
      • 作成日(証明書要求日以降の日付)

      従来の「ドメイン名使用に関わる誓約書」、「ドメイン名使用許諾書」、およびne.jpドメインの申請で必要とされていた「ne.jp誓約書」の提出は不要となり、これらの書類による確認はできなくなります。

      また、ne.jpドメインなど一部のドメイン名においてWHOISでドメイン名所有者情報を確認できない場合は情報開示書の提出が必要になります。

      • 情報開示書: レジストリが発行するドメイン名登録情報を証明した書類です。

1-2. CSR情報と第三者データベース情報の一致

  • 対象製品:セキュア・サーバID、グローバル・サーバID
  • 適用日時:2012年7月1日(日)以降に申請いただく証明書
  • 変更内容:BRセクション11.2.1の規定に基き、対象のSSLサーバ証明書の申請時に提出されるCSRの市区町村名 (Locality)、都道府県名 (State)、国名 (Country)には、第三者データベースあるいは登記事項証明書に記載された住所を指定する必要が有ります。上記に記載のない住所を指定する場合は、 EV SSL証明書と同様に弁護士、税理士、司法書士、行政書士、公認会計士、あるいは公証人の意見書の提出による事業所住所の表明が必要となります。
    (参考)EV SSL証明書での住所確認に関するFAQ:https://www.verisign.co.jp/ssl/help/ev/faq/000015/index.html

1-3. ドメイン名使用権確認時に使用したデータの有効期間延長

  • 対象製品:セキュア・サーバID、グローバル・サーバID、ベリサイントラストシール
  • 適用日時:2012年7月1日(日)以降に申請いただく証明書
  • 変更内容:BRセクション11.3の規定に基づいて、ドメイン名使用権確認時に使用した情報の有効期間を最大39か月に延長いたします。登録者情 報確認のためにご提出いただく「情報開示書」(1-1参照)は7月1日以前のご提出分も含め有効期間13か月のままになりますので、ご注意ください。

1-4. 代表電話番号証明書類の有効期間延長

  • 対象製品:セキュア・サーバID、グローバル・サーバID、ベリサイントラストシール、コードサイニング証明書、セキュアメールID
  • 適用日時:2012年7月1日(日)以降に申請いただく証明書
  • 変更内容:BRセクション11.3の規定に基づいて、申請団体の電話番号を証明するためにFAXにてご提出いただく代表電話番号証明書類の有効期間を最大39か月に延長いたします。

1-5. Organizational Unitのセキュリティチェック

  • 対象製品:セキュア・サーバID、グローバル・サーバID、EV SSL証明書
  • 適応日時:2012年7月1日(日)以降に申請いただく証明書
  • 変更内容:全てのSSLサーバ証明書の申請時に指定するCSRの部門名(Organizational Unit:以下OU)に第三者データベースで管理される商号または屋号が完全一致した場合、当該OUでのサーバ証明書は発行いたしません。日本ベリサイン では、上記に該当する申請をお受けした場合、OUを変更いただけるよう、技術担当者に通知いたします。

1-6. 認証の変更点まとめ

2012年7月1日(日)以降に申請いただく証明書に関して適用になります

対象製品 認証プロセス 変更前 変更後
  • セキュア・
    サーバID
  • グローバル・
    サーバID
  • ベリサイン
    トラストシール
WHOIS上で「ドメイン名登録団体=申請団体」でないドメイン名の使用権の確認 「ドメイン名使用に関わる誓約書」、「ドメイン名使用許諾書」「ne.jp誓約書」を提出

以下のドメイン名使用権の有無を確認

  • ドメイン名登録者(WHOIS記載の所有者、管理担当者、または、技術担当者の連絡先)へEメールを用いて確認
  • ドメイン名の前に定型の文字列を付けたメールアドレスへEメールを用いて確認。
  • メール確認できない場合、ドメイン名所有者による、書類の提出
  • セキュア・
    サーバID
  • グローバル・
    サーバID
CSRの市区町村名 (Locality)、都道府県名 (State)、国名(Country)の確認 認証の対象外 第三者データベースあるいは登記事項証明書に記載された住所を指定する必要がある
  • セキュア・
    サーバID
  • グローバル・
    サーバID
  • ベリサイン
    トラストシール
ドメイン名使用権確認時に使用した情報の有効期間 最大13か月 最大39か月
  • セキュア・
    サーバID
  • グローバル・
    サーバID
  • ベリサイン
    トラストシール
  • コードサイニング証明書
  • セキュアメールID
代表電話番号証明書類の有効期間 最大13か月 最大39か月
  • セキュア・
    サーバID
  • グローバル・
    サーバID
  • EV SSL証明書
CSRの部門名(OU)の確認 認証の対象外 第三者データベースで管理される商号または屋号の使用権の確認

2. 証明書プロファイルの変更

  • 以下の証明書拡張領域における仕様変更はブラウザ、携帯電話などにおける通常の利用(証明書の検証)に影響を与えるものではございません。しかしながら、 サーバ間通信を行うWebアプリケーションや独自の組み込み機器などにおいて、独自に証明書拡張領域の内容を確認する実装が存在する場合には、影響が及ぶ 可能性がございますのでご注意ください。

2-1. Certificate Policy - cPSuriの変更

  • 対象製品:セキュア・サーバID、グローバル・サーバID、EV SSL証明書
  • 適用日時:ベリサイン: 2012年7月1日(日)以降に申請いただいた証明書
  • 変更内容:

    BR Appendix B の規定に基づいて、証明書ポリシー(CP)および認証局運用規定(CPS)へのリンクを明示する目的で、拡張領域Certificate Policy(証明書ポリシー) - cPSuriを以下の通り変更いたします。

    【変更前】
    ベリサイン:https://www.verisign.com/rpa

    【変更後】
    ベリサイン:https://www.verisign.com/cps

2-2. Certificate Policy - PolicyIdentifierの変更

  • 対象製品:セキュア・サーバID、グローバル・サーバID
  • 適用日時:ベリサイン: 2012年7月1日(日)以降に申請いただいた証明書
  • 変更内容:

    BR セクション9.3.4の規定に基づいて、米国シマンテックグループが発行するSSLサーバ証明書がBRへ準拠することを明示する目的で、拡張領域 Certificate Policy(証明書ポリシー) - policyIdentifierを以下の通り変更いたします。

    【変更前】
    2.16.840.1.113733.1.7.23.3

    【変更後】
    2.16.840.1.113733.1.7.54

2-3. Authority Key Identifierの変更

  • 対象製品:グローバル・サーバID (「旧来仕様(1024bit)」を除く)
  • 適用日時:2012年7月1日(日)以降に申請いただいた証明書
  • 変更内容:BR Appendix BおよびBRが支持するRFC5280における拡張領域 Authority Key Identifier(機関キー識別子)に対する推奨事項等を踏まえ、以下の通り変更いたします。

    【変更前】
    使用しない

    【変更後】
    Issuing CAのKeyIDを設定

2-4. Logotypesの削除

  • 対象製品:セキュア・サーバID、グローバル・サーバIDおよびEV SSL証明書
  • 適用日時:2012年7月1日(日)以降に申請いただいた証明書
  • 変更内容:BRおよびBRが支持するRFC5280において、積極的な利用が推奨されていないこと等を踏まえ、拡張領域Logotypes(ロゴ)を削除いたします。

    【変更前】
    Logotypes(OID:1.3.6.1.5.5.7.1.12)を拡張領域に含む

    【変更後】
    使用しない

2-5. KeyUsageのCriticalityビットの変更

  • 対象製品:セキュア・サーバID、グローバル・サーバIDおよびEV SSL証明書
  • 適用日時:2012年7月1日(日)以降に申請いただいた証明書
  • 変更内容:BR Appendix BおよびBRが支持するRFC5280において拡張領域Key Usage(鍵使用法)に対する推奨事項等を踏まえ、以下の通り変更いたします。

    【変更前】
    Key UsageのCriticality = FALSE

    【変更後】
    Key UsageのCriticality = TRUE

2-6. 証明書プロファイル変更点のまとめ

  • セキュア・サーバID、グローバル・サーバIDおよびEV SSL証明書の変更点
変更適用日 対象製品 変更対象の証明書プロファイル
2012年
6月15日(金)
  • セキュア・サーバID
  • グローバル・サーバID
  • EV SSL証明書
コモンネーム情報をSubject Alternative Names フィールドへ追加
(4月13日にご案内済)
2012年
7月1日(日)
  • セキュア・サーバID
  • グローバル・サーバID
  • EV SSL証明書
Certificate Policy
- cPSuriの変更
  • セキュア・サーバID
  • グローバル・サーバID
Certificate Policy
- Policy Identifierの変更
  • セキュア・サーバID
  • グローバル・サーバID
  • EV SSL証明書
Logotypesの削除
Key Usage - Criticalityビットの変更
グローバル・サーバIDのみ、ただし「「旧来仕様(1024bit)」を除く」 Authority Key Identifierの追加
  • ルート証明書、中間認証局証明書について、BR発効に伴う証明書プロファイル変更はございません。
  • この情報は2012年5月時点の情報であり、今後のCAブラウザフォーラムでの検討状況などにより、急遽変更される可能性があります。変更される場合は追加のレター配信やWebページへの公開などにて随時情報を公開いたします。

3.Baseline Requirements v1.0日本語参考訳

4. 本件に関するお問合せ先

日本ベリサイン株式会社 カスタマーサポート
E-mail : server-info@verisign.co.jp
電話 : 044-520-7210 (音声ガイダンス後、1番を選択してください)
(平日9時30分~17時30分)

 

以上