DigiCert KnowledgeBase - Technical Support-hero

Knowledge Base

DigiCert 中間CA証明書変更に関する情報

ソリューション番号: AL170720213619
最終更新日: 2024/12/20

事象

※本ページは米国ページを元に作成されています。

Digicert は次の理由により中間CA証明書の変更を行います。:

  • 証明書ライフサイクルへの迅速な対応
  • 中間CA証明書のピニングやハードコーディング等の固定利用をさせないようにする
  • 業界や CA/Browser Forum のガイドラインの変更による中間CA証明書やエンドエンティティ証明書への影響を緩和する

 

中間CA証明書はなぜ必要なのでしょうか?

認証局 (CA) は、ルート証明書を発行元として中間 CA証明書を、中間CA証明書を発行元として証明書を発行しています。

そのため証明書は複数階層構造となっており、ブラウザ等のクライアントアプリケーション等からサイトにアクセスする際は、
サイトに設置している証明書と中間CA証明書をたどって、最終的にクライアントに搭載されているルート証明書を使用して
証明書を検証します。

そのため、中間CA証明書を設定していない場合、正しいチェーンをたどれず証明書エラーが発生する原因につながります。
参考:SOT0006 ルート証明書/中間CA証明書の階層構造について 
 

新中間CA証明書に変更することによる影響は?

次のような中間CA証明書の利用を行っていない限り、特別な対応は必要ありません 

  • 旧中間CA証明書を固定登録(ピニング)して使用している
  • 旧中間CA証明書の使用前提として開発したプログラム等のソースコードの中に記述する等のハードコーディングを行っている
  • 旧中間CA証明書が含まれる証明書ストアを使った利用を行っている

上記の使用を行っている場合は、今後中間CA証明書の随時更新するような運用をご検討ください。
 

中間CA証明書の変更による既存の証明書への影響は?

新しい中間CA証明書がリリースされても、既存の旧中間CA証明書を使用してる証明書には影響しません。

旧中間CA証明書を失効するわけではありませんので、旧中間CA証明書から発行されたすべての証明書はその有効期限が切れるまでは引き続きご利用いただけます。

ただし、新中間CA証明書のリリース後、旧中間CA証明書を発行元とする証明書を再発行すると、新中間CA証明書を発行元とする証明書が発行されますので、新中間CA証明書を設定する必要があります。
 

中間CA証明書の変更対応漏れを防ぐためのベストプラクティスは?

証明書が発行されると、証明書および中間CA証明書は発行通知の添付ファイルに含まれます。
またCertCentralの対象のオーダーページからダウンロードすることもできます。

それらのファイルにはその証明書の発行元である適切な中間CA証明書が含まれていますので、
発行毎にそれをインストールすることで、対応漏れを防ぐことができます。
参考:SOT0002 サーバ証明書 インストール手順
 

中間CA証明書の取得方法

先述の通り、発行通知の添付ファイルやCertCentralからダウンロードできます。
また DigiCert Trusted Root Authority Certificates ページでも常にダウンロードすることができます。

 

これまでの変更履歴は以下の通りです。

2022年5月 DV製品 中間CA証明書の変更

2022年5月25日以降に発行する中間CA証明書は、新しい中間CA証明書が発行元となります。
旧中間CA証明書のピニングやハードコーディング等を実施されている場合は更新することを推奨します。


対象製品
ジオトラストクイックSSLプレミアム
Rapid SSL

旧中間CA証明書 新中間CA証明書 発行元ルート証明書 OCSP CRL
  • GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1
  • GeoTrust TLS DV RSA Mixed SHA256 2021 CA-1
GeoTrust Global TLS RSA4096 SHA256 2022 CA1 DigiCert Global Root CA http://ocsp.digicert.com http://crl3.digicert.com
  • RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1
  • RapidSSL TLS DV RSA Mixed SHA256 2021 CA-1
RapidSSL Global TLS RSA4096 SHA256 2022 CA1 DigiCert Global Root CA http://ocsp.digicert.com http://crl3.digicert.com

 

2021年12月 クライアント証明書 中間CA証明書の変更

2021年12月7日に中間CA証明書が変更になりました。この変更は、クライアント証明書の業界標準に準拠するため行われました。
旧中間CA証明書のピニングやハードコーディング等を実施されている場合は更新することを推奨します。

旧中間CA証明書/ルート証明書

新中間CA証明書/ルート証明書

新中間証明書のシリアル番号
  • (ICA) DigiCert SHA2 Assured ID CA

  • (Root) DigiCert Assured ID Root CA

  • (ICA) DigiCert Assured ID Client CA G2

  • (Root) DigiCert Assured ID Root G2

0F:FA:E1:F3:1A:2B:43:3C:3D:9A:E1:6D:64:3B:58:8B

 

2021年6月 EV\OV製品 中間CA証明書のプロファイル変更

2021年6月9日 下記中間CA証明書のプロファイル変更を行いました。
この変更は、GoogleChromeのEVインジケーターとの互換性を回復させるために行われました。
そのため、旧中間CA証明書と新中間CA証明書はシリアル番号は異なりますが、
同一のキーペアおよび同一サブジェクト名ですので、どちらを利用しても問題は発生しません。

対象製品

  • セキュア・サーバID EV
  • グローバル・サーバID EV
  • スタンダード・サーバID EV
  • セキュア・サーバID
  • グローバル・サーバID
  • スタンダード・サーバID
中間CA証明書 旧シリアル番号 新シリアル番号
DigiCert TLS RSA SHA256 2020 CA1 0a3508d55c292b017df8ad65c00ff7e4 06d8d904d5584346f68a2fa754227ec4
DigiCert Global G3 TLS ECC SHA384 2020 CA1 0d360c448491ce24ed0b3540d870a0dd 0b00e92d4d6d731fca3059c7cb1e1886
DigiCert TLS Hybrid ECC SHA384 2020 CA1 0a275fe704d6eecb23d5cd5b4b1a4e04 07f2f35c87a877af7aefe947993525bd
DigiCert G5 TLS ECC SHA384 2021 CA1   041c5d282eb3710e6b72c2dabd26716f
DigiCert G5 TLS RSA4096 SHA384 2021 CA1   0e6458e754ec9cc7bac83231d5f94d58
DigiCert G5 RSA4096 SHA384 2021 CA1   0e8d2840ae4825905618b3a8a9e17a47
DigiCert G5 ECC SHA384 2021 CA1   060e453e9bf768c659336a5b02b47113

 

2020年11月 中間CA証明書の変更

2020年11月2日以降に発行する中間CA証明は、新しい中間CA証明書が発行元となります。
旧中間CA証明書のピニングやハードコーディング等を実施されている場合は更新することを推奨します。

対象製品

  • セキュア・サーバID EV
  • グローバル・サーバID EV
  • スタンダード・サーバID EV
  • セキュア・サーバID
  • グローバル・サーバID
  • スタンダード・サーバID
旧中間CA証明書

新中間CA証明書

発行元ルート証明書

OCSP CRL

DigiCert SHA2 Secure Server CA

DigiCert TLS RSA SHA256 2020 CA1

*CertCentralで デフォルトで発行される証明書の中間CA証明書になります。

DigiCert Global Root CA

http://ocsp.digicert.com

http://crl3.digicert.com
http://crl4.digicert.com

DigiCert SHA2 Secure Server CA           

DigiCert SHA2 Secure Server CA

DigiCert Global Root CA

http://ocsp.digicert.com

http://crl3.digicert.com
http://crl4.digicert.com

DigiCert Baltimore CA-2 G2

DigiCert Baltimore TLS RSA SHA256 2020 CA1

Baltimore CyberTrust Root

http://ocsp.digicert.com

http://crl3.digicert.com
http://crl4.digicert.com

DigiCert Global CA G2

DigiCert Global G2 TLS RSA SHA256 2020 CA1

DigiCert Global Root G2

http://ocsp.digicert.com

http://crl3.digicert.com
http://crl4.digicert.com

DigiCert ECC Secure Server CA

DigiCert TLS Hybrid ECC SHA384 2020 CA1

DigiCert Global Root CA

http://ocsp.digicert.com

http://crl3.digicert.com
http://crl4.digicert.com

DigiCert Baltimore CA-1 G2

DigiCert Baltimore SMIME RSA SHA256 2020 CA1

Baltimore CyberTrust Root

http://ocsp.digicert.com

http://crl3.digicert.com
http://crl4.digicert.com

DigiCert Global CA G3

DigiCert Global G3 TLS ECC SHA384 2020 CA1

DigiCert Global Root G3

http://ocsp.digicert.com

http://crl3.digicert.com
http://crl4.digicert.com

DigiCert Trusted Server CA G4

DigiCert Trusted G4 TLS RSA SHA384 2020 CA1

DigiCert Trusted Root G4

http://ocsp.digicert.com

http://crl3.digicert.com
http://crl4.digicert.com

DigiCert ECC Extended Validation Server CA

DigiCert TLS Hybrid ECC SHA384 2020 CA1

DigiCert Global Root CA

http://ocsp.digicert.com

http://crl3.digicert.com
http://crl4.digicert.com

DigiCert Assured ID CA G2

DigiCert Global G2 TLS RSA SHA256 2020 CA1

DigiCert Global Root G2

http://ocsp.digicert.com

http://crl3.digicert.com
http://crl4.digicert.com

DigiCert Extended Validation CA G3

DigiCert Global G3 TLS ECC SHA384 2020 CA1

DigiCert Global Root G3

http://ocsp.digicert.com

http://crl3.digicert.com
http://crl4.digicert.com

DigiCert High Assurance CA-3

DigiCert TLS RSA SHA256 2020 CA1

DigiCert Global Root CA

http://ocsp.digicert.com

http://crl3.digicert.com
http://crl4.digicert.com

DigiCert EV Server CA G4

DigiCert Trusted G4 TLS RSA SHA384 2020 CA1

DigiCert Trusted Root G4

http://ocsp.digicert.com

http://crl3.digicert.com
http://crl4.digicert.com