質問

Advanced Search

Alert ID : ALERT771

Last Modified : 06/04/2018

ベリサイン サーバID(SSLサーバ証明書)における公開鍵長などの仕様変更について(続報)

Description

2010年8月31日

お客様各位

2010年10月11日に予定させて頂いております、ベリサイン サーバID製品における公開鍵長などの仕様変更につきまして、ご連絡申し上げます。

1. 対象製品

グローバル・サーバID および セキュア・サーバID
(2010年10月11日(予定)に仕様変更を行う対象製品)

  • 注: EV SSL証明書は対象に含みません。
  • 注: コードサイニング証明書につきましては本通知の対象外であり、当初予定の通り仕様変更を実施いたします。

2. 仕様変更に関するご案内

日本ベリサインでは、お客様からのご要望を多く頂いておりました「『旧来仕様のサーバID』(*1)の受付・発行期間の延長」および「1024bitRSAのCSRの受付期間の延長」を実施することを決定いたしました。

  • *1: 「旧来仕様のサーバID」とは : ルート証明書および中間証明書に1024bitRSAを利用した、現在提供中のグローバル・サーバIDおよびセキュア・サーバIDを指します。

2010年10月11日(予定)の仕様変更以降は、公開鍵長に2048bitRSAを利用した新仕様の製品に加えて、旧来仕様のサーバIDのいずれかをお選びいただけます。

旧来仕様のサーバIDの申請方法など詳細につきましては「2. 旧来仕様のサーバIDの発行条件について」、およびFAQをご参照下さい。

3. 旧来仕様のサーバIDの発行条件について

旧来仕様のサーバIDは、2010年10月11日の仕様変更以降も、これまでと同様に「ベリサイン ストアフロント」から申請(新規申請および更新申請)いただけます。

ストアフロントにおいてサーバID製品を選択いただいた後、申請情報入力画面において「サーバソフトウェアの選択」の選択肢より「旧来仕様 (1024bit)」(10月11日に新規追加予定)を選択いただいた場合に、旧来仕様のサーバIDを発行いただくことが可能になります。

  • 旧来仕様のサーバIDは、有効期間が2013年12月31日を超えないことを条件に当面の間発行を継続させていただく予定ですが、暗号鍵長の危殆状況により変更される可能性があります。発行終了時期については確定次第ご連絡させていただきます。
  • 旧来仕様のサーバIDは、「1年間有効」なサーバID(グローバル・サーバID、セキュア・サーバID)を選択いただいた際にのみ選択可能となりますのでご注意下さい。

4. (ご参考) FAQ

下記のWeb サイトにて、当件に関するFAQを順次アップデートしております。必要に応じてご参照ください。
FAQ 「Q:2010年後半に予定されている仕様変更について」

以上

ベリサイン サーバIDおよびコードサイニング証明書製品における公開鍵長などの仕様変更について(続報)

2010年7月15日

お客様各位

2010年1月28日にご連絡差し上げました「ベリサイン サーバIDおよびコードサイニング証明書製品における2010年の仕様変更(公開鍵長など)のご案内」につきまして、仕様変更のスケジュールなどについてご連絡申し上げます。

また、同時に、サーバID(SSLサーバ証明書)およびコードサイニング証明書のオンライン申請システムとしてご利用いただいておりますベリサイン ストアフロント システムにつきまして、機能の一部を変更させていただきますので併せてご連絡申し上げます。

1. 仕様変更(公開鍵長など)の日程

  • 2010年 10月11日(月・祝) (日本時間)
  • 上記スケジュールは現時点での予定であり、変更の可能性があります。変更される場合は改めてご連絡させていただきます。
  • 当仕様変更に伴い、ベリサイン ストアフロントシステムにおいてメンテナンスを予定しております。システムメンテナンスの時間帯など詳細が決定次第ご連絡差し上げます。

2. 仕様変更の対象となる製品

  • 対象証明書製品
    • サーバID (SSLサーバ証明書)
      • グローバル・サーバID
      • セキュア・サーバID
      • : EV SSL証明書は仕様変更の対象に含みません。
    • コードサイニング証明書
      • Authenticode対応Digital ID
      • Object Signing対応Digital ID
      • ドキュメントサイニング用 Digital ID

3. ストアフロント システムの仕様変更の内容について

(ア) 全ての機能を、Windows VistaおよびWindows 7でもご利用いただけるようになります。

これまで、Windows VistaおよびWindows 7をご利用の場合は、ストアフロントにてコードサイニング証明書を申請いただけませんでした。今回、Windows VistaおよびWindows7をご利用の場合も、コードサイニング証明書を申請いただけるように、ストアフロントの仕様変更を行います。

  1. Authenticode対応Digital ID および ドキュメントサイニング用Digital IDをご申請の場合の推奨クライアント環境
      現在 仕様変更(10月)以降
    OS環境 Windows 2000 以降 (Windows VistaおよびWindows 7は除く) Windows XP以降 (※1)
    ブラウザ環境 Internet Explorer 5.5 以降 Internet Explorer 6 以降
  2. ObjectSigning対応Digital IDをご申請の場合の推奨クライアント環境
      現在 仕様変更(10月)以降
    OS環境 Windows 98SE 以降 Windows XP以降 (※1)
    ブラウザ環境 Netscape Communicator 4.75 - 4.78 (※2) Mozilla Firefox 3.0以降
  • ※1 Windows VistaおよびWindows7を利用してコードサイニング証明書を申請いただく際には、証明書を正しく取得いただくためにブラウザの設定変更が必要となる可能性がございます。詳細につきましてはFAQなどに順次アップデートさせて頂きます。
  • ※2 Netscape Navigatorでは2048bitRSAの鍵ペアを生成することが出来ません。また提供元によるサポートが2008年に全て終了しており、 Firefoxなど後続のブラウザへの移行が促されています。Netscape Navigatorによる申請受付は、本仕様変更時点をもって停止させていただきますので、これまでにMozilla Firefoxによる申請環境の準備をいただけますよう、お願い申しあげます。

(イ) 個人用電子証明書によるログイン機能を停止いたします。

これまでストアフロントでは、「ユーザIDおよびパスワード」によるログイン機能に加え、個人用電子証明書によるログイン機能を提供しておりまし た。今回、個人用電子証明書の新規発行およびこれを利用したログイン機能を全て停止させていただきます。仕様変更後は「ユーザIDおよびパスワード」によ るログインを利用いただけますよう、お願いいたします。

(ご参考) ストアフロントへの「ユーザIDおよびパスワード」でのログインについて
https://www.verisign.co.jp/ssl/help/faq/190034/index.html

4. 証明書製品の仕様変更の内容について

各製品において利用中の公開鍵長について、それぞれ以下に示す方法でRSA2,048bitへの移行を行います。

(ア) グローバル・サーバID

現在  
ルート証明書 Class 3 Public Primary Certification Authority
公開鍵長 1024bitRSA
中間証明書 VeriSign International Server CA - Class 3
公開鍵長 1024bitRSA
End-Entity
証明書
公開鍵長(CSR) 1024bitRSA、
または
2048bitRSA
仕様変更(10月)以降  
ルート証明書 Class 3 Public Primary Certification Authority (※3)
公開鍵長 1024bitRSA
中間証明書
(2階層目)
VeriSign Class 3 Public Primary Certification Authority - G5
公開鍵長 2048bitRSA
中間証明書
(3階層目)
VeriSign Class 3 International Server CA - G3
公開鍵長 2048bitRSA
End-Entity
証明書
公開鍵長(CSR) 2048bitRSA (1024bitRSAのCSR受付期間の延長について検討中) (※4)

(イ) セキュア・サーバID

現在  
ルート証明書 Class 3 Public Primary Certification Authority - G2
公開鍵長 1024bitRSA
中間証明書 VeriSign Class 3 Secure Server 1024-bit CA - G2
または
VeriSign Class 3 Secure Server CA - G2
公開鍵長 1024bitRSA、
または
2048bitRSA
End-Entity
証明書
公開鍵長(CSR) 1024bitRSA、
または
2048bitRSA
仕様変更(10月)以降  
ルート証明書 Class 3 Public Primary Certification Authority (※3)
公開鍵長 1024bitRSA
中間証明書
(2階層目)
VeriSign Class 3 Public Primary Certification Authority - G5
公開鍵長 2048bitRSA
中間証明書
(3階層目)
VeriSign Class 3 Secure Server CA - G3
公開鍵長 2048bitRSA
End-Entity
証明書
公開鍵長(CSR) 2048bitRSA (1024bitRSAのCSR受付期間の延長について検討中) (※4)

(ウ) コードサイニング証明書の仕様変更内容

  • Authenticode対応Digital ID
  • Object Signing対応Digital ID
  • ドキュメントサイニング用 Digital ID
現在  
ルート証明書 Class 3 Public Primary Certification Authority
公開鍵長 1024bitRSA
中間証明書 VeriSign Class 3 Code Signing 2009-2 CA
公開鍵長 1024bitRSA
End-Entity
証明書
公開鍵長(CSR) 1024bitRSA
仕様変更(10月)以降  
ルート証明書 Class 3 Public Primary Certification Authority
公開鍵長 1024bitRSA
中間証明書
(2階層目)
VeriSign Class 3 Public Primary Certification Authority - G5
公開鍵長 2048bitRSA
中間証明書
(3階層目)
VeriSign Class 3 Code Signing 2010 CA
公開鍵長 2048bitRSA
End-Entity
証明書
公開鍵長(CSR) 2048bitRSA
  • ※3 多くの携帯電話や古いブラウザ環境などでも問題なく利用いただけるよう、広い環境に普及しているルート証明書「Class 3 Public Primary Certification Authority」を利用して署名検証を可能とするクロスルート方式を採用いたします。階層構造が変わることでサーバへ設定いただく中間証明書の枚数が 増加しますのでご注意下さい。複数の中間証明書の設定方法について、事前にご利用のサーバのマニュアルドキュメント等でご確認いただくことを推奨します。
  • ※4 有効期間終了日が2013年末を超えないことを条件に、1024bitRSAのCSR受付けを延長し、2011年以降順次終了することを検討中です(現時点では未確定です)。詳細については後述の「5. 旧来仕様のサーバIDの発行継続について」をご参照下さい。

5. 旧来仕様のサーバIDの発行継続について

米国NISTでは1024bit RSAの公開鍵暗号方式の利用を、一定の条件下において2013年末までこれを延長して利用を認めるガイドラインのドラフトを発表しており、現時点では(2010年7月15日時点)パブリックコメントが受け付けられております(※5)。この結果が反映された新しいガイドラインは、近い将来に発表される見込みです(詳細時期は現時点では未定)。

弊社では引続き、お客様のセキュリティへのご要望にお応えするために、2048bitRSAへの移行を、上記の通り進めさせていただきますが、同時 に、上記のNISTガイドラインのアップデートを踏まえ、「1024bitRSAのCSRの受付期間の延長」および「旧来仕様のサーバID(※6)の受付・発行期間」を延長し、お客様のセキュリティポリシーおよびニーズによっていずれかを選択いただける様にすることを検討しております。

  • ※5 SP800-131 "Recommendation for the Transitioning of Cryptographic Algorithms and Key Lengths" (http://csrc.nist.gov/publications/PubsDrafts.html#SP-800-131)
  • ※6 旧来仕様のサーバIDとは : ルート証明書および中間証明書に1024bitRSAを利用した、現在提供中のグローバル・サーバIDおよびセキュア・サーバIDを指します。

当件につきましては、NISTガイドラインのアップデート状況を踏まえながら、方針を決定次第、再度詳細についてご連絡させて頂きます。

6. (ご参考) FAQ

下記のWeb サイトにて、当件に関するFAQを順次アップデートしております。必要に応じてご参照ください。

7. 本件に関するお問合せ先

日本ベリサイン カスタマーサービス
電話番号   : 044-520-7210(音声ガイダンス後"1"をプッシュしてください)
サポート時間 : 9:30-17:30 (土日祝日を除く)
E-mail    : server-info@verisign.co.jp
専用フォーム : https://www.verisign.co.jp/cgi-bin/mf.cgi?n=sid

以上

ベリサイン サーバIDにおける2010年の仕様変更(公開鍵長など)について(続報)

2010年4月22日

お客様各位

去る2010年1月28日にご連絡さしあげました「ベリサイン サーバIDおよびコードサイニング証明書製品における2010年の仕様変更(公開鍵長など)のご案内」につきまして、仕様変更のスケジュールおよびブラウザ・携帯電話対応率などに関してご連絡申しあげます。

1. 仕様変更の日程

【変更前】2010年 後半 (7月 ~ 12月の間)
【変更後】2010年 10月 ~ 12月の間

さらに詳細な日時について確定次第、あらためてご連絡させていただきます。

2. 仕様変更による影響について

■動作確認対象のサーバID
仕様変更後の グローバル・サーバID および セキュア・サーバID

■仕様変更後のサーバID 動作確認済みPCブラウザ

下記のPCブラウザについて、仕様変更後のサーバID(グローバル、セキュア共に)を導入したWebサイトとのSSL通信が可能であることを確認いたしました。

  • Internet Explorer(Windows版)5.01以降
  • Firefox 1.0.0以降
  • Google Chrome 1.0以降
  • Safari 2.0以降
  • Opera 9.5以降
  • Netscape Navigatorは提供元によるサポートが2008年に全て終了しており、Firefoxなど後続のブラウザへの移行が促されています。ベリサインでは この状況を鑑み、今後の動作確認対象範囲からNetscape Navigatorを除外いたします。

■仕様変更後のサーバID 動作確認済み携帯電話端末

動作確認対象 : 2010年3月末までに発売された3G携帯電話およびスマートフォン 全604機種
対象キャリア : docomo / au / SoftBank / DisneyMobile / イー・モバイル / WILLCOM
(第2世代携帯電話(2G)およびオプションで装備されているフルブラウザは含まれておりません。)

動作確認結果 : 対象の604機種中596機種(およそ99%)の携帯電話端末について、仕様変更後のサーバID(グローバル、セキュア共に)を導入したWebサイトとのSSL通信が可能であることを確認いたしました。

また、未対応機種は、以下の表に示す8機種となります。

キャリア 機種名 メーカー 端末発売日
WILLCOM WX220J JRC 2007/1/25
WILLCOM AH-J3003S JRC 2004/7/15
WILLCOM AH-J3002V JRC 2003/4/1
WILLCOM AH-J3001V JRC 2003/4/1
au W41H HITACHI 2006/2/15
au W41CA CASIO 2006/2/10
au W32H HITACHI 2005/9/9
docomo D2101V MITSUBISHI 2002/3/1
  • *1 このページにおけるPCブラウザや携帯電話端末の対応率に関する内容は、あくまでも日本ベリサインが独自に動作確認を行った結果であり、端末へのサポートを表明するものではございません。 またWebコンテンツによって正しく動作しないことがあります。
  • *2 携帯電話の仕様に関しては、各携帯電話事業者までお問い合わせください。
  • *3 上記は、現時点で予定されている製品仕様に対して事前動作確認を行った結果であり、今後変更される可能性があります。

以上

ベリサイン サーバIDおよびコードサイニング証明書製品における2010年の仕様変更(公開鍵長など)のご案内

2010年1月28日

お客様各位

日本ベリサインでは、2010年 後半におきまして、暗号アルゴリズムの安全性の維持・向上を目的として、ベリサイン サーバID(SSLサーバ証明書)およびコードサイニング証明書製品の仕様変更を行います。この仕様変更は、「暗号アルゴリズムにおける2010年問題 (*1)」への対策の一つとして、対象製品において利用中の公開鍵長をRSA2,048bit以上へ移行することを目的とした取組みでございます。

尚、現在お客様がご利用中の、RSA1,024bitの公開鍵を利用して発行済みのサーバIDおよびコードサイニング証明書は、有効期限を迎えるまで問題なくご利用いただくことが可能です。

  • *1 「暗号アルゴリズムにおける2010年問題」とは
    暗 号アルゴリズムの安全性は、コンピュータの性能向上および暗号解読技術の進展により、徐々に低下していくことが避けられません。例えばNIST(米国標準 技術研究所) では、現在利用されている米国政府使用の暗号技術(暗号アルゴリズム)を、2010年末までにより安全なアルゴリズムへ移行させる方針を打ち出していま す。セキュリティの観点からは、より安全な暗号アルゴリズムへ早急に移行することが望ましい一方で、SSL/TLS通信に支えられる情報システムの安全 性・可用性を損なうことなく移行するためには、企業システムの改修にかかるコストの問題や、組込み機器における実装上の制約など、多くの課題が存在しま す。この「移行」に伴う問題が一般的に「暗号アルゴリズムにおける2010年問題」、または「2010年問題」と呼ばれています。

1. 仕様変更の理由

米国NISTでは、米国連邦政府機関の情報システムについて、計算機性能の向上や脆弱性の問題などを考慮し、安全性確保の観点から2010年末を期限にRSA1,024bit鍵長の利用を中止する方針を示しています。

弊社ではこれらの技術動向を踏まえ、ベリサイン サーバIDおよびコードサイニング証明書製品について、以下の通りRSA2,048bit以上の鍵長への移行を行うことを決定いたしました。

2. 仕様変更の対象となる製品

  • サーバID (SSLサーバ証明書)
    • グローバル・サーバID
    • セキュア・サーバID
    • EV SSL証明書は、CAブラウザフォーラムが定めるガイドラインに従い、既にRSA2,048bitへの移行を完了しているため、今回の移行の対象に含みません。
  • コードサイニング証明書
    • Authenticode対応Digital ID
    • Object Signing対応Digital ID
    • ドキュメントサイニング用 Digital ID

3. 仕様変更の日程

2010年 後半 (7月~12月の間) を予定しております。

仕様変更日時の詳細について確定次第、あらためて当Webページへの掲載およびお客様へのご連絡をさせていただきます。

4. 仕様変更の内容

対象製品において利用中の公開鍵長について、それぞれ以下に示す方法でRSA2,048bitへの移行を行います。

  • サーバID (SSLサーバ証明書)
    1. サーバID (End-Entity証明書)

      サーバIDの申請時に提出いただくCSR(証明書署名要求)の鍵長について、RSA2,048bitを下限として受付けさせていただくよう、仕様変 更を行います。仕様変更後にサーバIDを申請頂く際には、CSRの鍵長をRSA2,048bit以上としていただく必要がございます。

      • * 仕様変更以前に発行されたRSA1,024bitの公開鍵を利用したサーバIDは、仕様変更後に有効期限を迎えるまで、問題なくご利用いただくことが可能です。
    2. 中間認証局証明書

      仕様変更後に発行されるサーバIDをお客様のサーバ環境に導入いただく際には、新しい中間認証局証明書(公開鍵長RSA2,048bit)を導入いただく必要があります。 新しい中間認証局証明書は、仕様変更に先立って、順次公開させていただきます。

    3. ルート証明書

      仕様変更後に発行されるサーバIDは、RSA2,048bitのルート証明書によって検証されます。ブラウザなどのクライアント環境には、RSA2,048bitのルート証明書が導入されていることが必要となります。

      RSA2,048bitの公開鍵を持つベリサインのルート証明書は、既に多くのブラウザ環境に導入されています(*1)。また多くの携帯電話でも問題なく利用いただけるよう「クロスルート」という方式を採用することで、クライアント環境の対応率への影響を最小限に抑えます(*2)

    • *1 ルート証明書は、ブラウザなどのクライアント環境にあらかじめ組込まれ、サーバIDが正しい認証機関から発行されたものであるか検証を行うために利用されます。
    • *2 仕様変更後のPCブラウザや携帯電話などの対応状況については、仕様変更に先立って順次Webサイトなどへ公開し、お客様へご連絡させて頂きます。
  • コードサイニング証明書
    1. コードサイニング証明書 (End-Entity証明書)

      コードサイニング証明書申請時に生成される鍵ペア(公開鍵および秘密鍵)について、以下の通り仕様変更を行います。

      【仕様変更前】 RSA1,024bit
      【仕様変更後】 RSA2,048bit

      • * 仕様変更以前に発行されたRSA1,024bitの公開鍵を利用したコードサイニング証明書は、仕様変更後に有効期限を迎えるまで、問題なくご利用いただくことが可能です。
    2. 中間認証局証明書

      仕様変更後に発行されるコードサイニング証明書では、新しい中間認証局証明書(公開鍵長RSA2,048bit)を併せてご提供いたします。

    3. ルート証明書

      仕様変更後に発行されるコードサイニング証明書は、RSA2,048bitのルート証明書によって検証されます。ブラウザなどのクライアント環境には、RSA2,048bitのルート証明書が導入されていることが必要となります。

      RSA2,048bitの公開鍵を持つベリサインのルート証明書は、既に多くのブラウザ環境に導入されています(*3)。また古いブラウザ環境などにおいても問題なく利用いただけるよう「クロスルート」という方式を採用することで、署名済みプログラムの動作環境の対応率への影響を最小限に抑えます(*4)

    • *3 ルート証明書はWindows OSなどの環境にあらかじめ組込まれ、プログラムが正しい認証機関から発行されたコードサイニング証明書によって署名されているか検証を行うために利用されます。
    • *4 仕様変更後の署名ツール・検証ツールの動作確認結果については、仕様変更に 先立って順次Webサイトなどへ公開し、お客様へご連絡させて頂きます。

    対象各製品の仕様変更の内容の詳細について確定次第、あらためて当Webページへの掲載およびお客様へのご連絡をさせていただきます。

5. 仕様変更による影響について

  • サーバID(SSLサーバ証明書)

    多くのサーバやSSLアクセラレータ、またブラウザや携帯電話などのクライアント環境は、既にRSA2,048bitに対応していることが確認され ております。しかしお客様がご利用中の機器やシステム構成によっては、RSA2,048bitへ未対応であるなどの理由で、SSL通信が出来なくなるなど の影響を与える可能性がございます。

    (参考)「携帯電話端末 機種一覧

    影響について不明な点がございましたら、各機器やシステムの開発元へ事前にご確認をいただけますよう、お願い申しあげます。

  • コードサイニング証明書

    マイクロソフト社WindowsやInternet Explorerなど、コードサイニング証明書によって署名されたプログラムが動作する環境の多くは、既にRSA2,048bitに対応していることが確認されております。

    しかしお客様がご利用中の機器やシステム構成によっては、RSA2,048bitへ未対応であるなどの理由で、プログラムの署名検証が出来なくなるなどの影響を与える可能性がございます。

    影響について不明な点がございましたら、各開発元へ事前にご確認をいただけますよう、お願い申しあげます。

6. ご参考:テスト用セキュア・サーバID (2,048bit)提供開始について

2010年1月29日(金)(予定)より、 テスト用セキュア・サーバID (2,048bit)の提供を開始いたします。お客様のサーバ環境(WebサーバやSSLアクセラレータ等)におけるRSA2,048bitの対応状況確認などにご利用いただけます。

詳細は下記のWebサイトをご参照ください。
テスト用セキュア・サーバID(2,048bit) の提供開始のお知らせ

当件に関するよくあるご質問と回答については、下記のWebサイトをご参照下さい。

FAQ「Q:2010年後半に予定されている仕様変更について」

 

以上