Alert ID : ALERT19
Last Modified : 07/17/2024
2024 年 7 月 31 日の午前1時(日本時間)に、DigiCert は従来のIPv4アドレスに加えて IPv6 アドレスをオンライン証明書ステータス プロトコル (OCSP)、証明書失効リスト (CRL)、およびその他のサービスで使用できるよう追加いたします。 自社ネットワークから外部へのアクセスに対して、ファイアーウォールまたはアクセス制御機器でIPアドレスにより制限されており、それらがIPv6 アドレスをサポートしている、またはサポートする予定がある場合には、IPv6 アドレスの外部接続を許可するよう該当のIPアドレスの許可っ設定の追加を推奨しております。 |
証明書にはOCSPおよびCRLのURLが埋め込まれており、サーバー証明書が設置されたサイトへのアクセス時、またはコード署名されたファイルの実行時などのアプリケーションが証明書を検証する際にそれらのURLにアクセスして証明書の有効性(失効されていないかどうか)の確認を行います。
証明書検証アプリケーションがIPアドレスによる外部アクセス制限を行っているようなネットワーク環境下にある場合は、アプリケーションがこのURLのIPアドレスにアクセスできず証明書の有効性が確認できなくなる可能性がありますので、必要に応じて下記リストのIP アドレス (IPv4 および IPv6) へのこのURLのIPアドレスに接続を許可いただくことを推奨しております。
Q: OCSP 、 CRL とは何ですか?
一般的にクライアント環境等で証明書を検証する際に、証明書の有効性を確認するために証明書に埋め込まれたOCSP または CRLにアクセスします。
例えばサーバ証明書の場合、ブラウザからサイトにアクセスしてサイトに設置された証明書を検証する際にCRLまたはOCSPを利用して
証明書が失効されていないかを確認します。
· 証明書が CRL リストにない、またはOCSP にて証明書の有効性が確認された場合、該当証明書が失効しておらず有効性が確認できたことになります。
· 証明書がCRLリストもしくはOCSPで失効していると確認された場合、ブラウザはセキュリティ警告またはエラーメッセージを表示します。
Q: 対応する必要はありますか?またどのような対応が必要ですか?
証明書の失効確認を行うためOCSP/CRLにアクセスする環境(ブラウザ等)が社内ネットワークなどの管理下にあり
かつIPv6をサポートするファイアーウォール等で社外へのアクセスがIPアドレスベースで制限されている場合は
対応の必要がある可能性があります。
追加の要否をネットワーク管理者等に相談いただき、2024年7月31日午前 1時(日本時間) までに
下記リストのIPアドレスを許可ルールに追加ください。
なお以下に該当する場合には対応は不要です。
• ファイアーウォールにIPアドレスで制限をかけていない場合(IPアドレスではなくURLで制限をかけている場合も含む)
• ファイアーウォールにIPアドレスで制限をかけているが、IPv6はサポートしていない場合
• ファイアーウォールにIPアドレスで制限をかけているが、IPv6のホワイトリスト登録をしなくてもIPv4でアクセスできる場合
Q: アクセス制限により失効確認ができなくなった場合、どうなりますか?
失効確認が行えなかった場合の挙動は、証明書検証環境の仕様に依存します。
ブラウザ等ではサイトにアクセスができなくなるような事例はほとんど報告されておりません。
Q: 使用している証明書のCRL、OCSPはどのように確認できますか?
証明書をブラウザやOSの証明書ビューアで開き、「CRL配布ポイント(エンドポイント)」「機関情報アクセス(AIA)」等のフィールドでそれぞれ確認できます。
DigiCert OCSP /CRL 、ならびにPKI Platform 8 サービスにおけるIPv4アドレス
Service* |
URL |
IPv4 addresses |
CertCentral OCSPs |
· ocsp.digicert.com · status.thawte.com · status.geotrust.com · status.rapidssl.com · kr.ocsp.digicert.com · ocsp.digicert-cn.com · ocsp.edge.digicert.com · ocsp.omniroot.com · ocsp1.digicert.com · ocsp2.digicert.com · ocspx.digicert.com · statusd.digitalcertvalidation.com · statuse.digitalcertvalidation.com · statusf.digitalcertvalidation.com · statush.digitalcertvalidation.com · www.public-trust.com |
· 192.229.211.108 · 192.229.221.95 · 152.195.38.76 · 192.16.49.85 |
CertCentral CRLs |
· crl3.digicert.com · crl4.digicert.com · cdp.thawte.com · cdp.geotrust.com · cdp.rapidssl.com · cdp1.digicert.com · cdp1.public-trust.com · cdp2.digicert.com · cdph.digitalcertvalidation.com · crl.digicert-cn.com · crl.edge.digicert.com · crl.pki.abb.com · www.public-trust.com |
· 192.229.211.108 · 192.229.221.95 · 152.195.38.76 · 192.16.49.85 |
CertCentral Europe OCSPs |
· ocsp.digicert.eu |
· 192.229.211.153 · 192.229.221.140 · 152.195.35.161 · 192.16.48.236 |
CertCentral Europe CRLs |
· crl.digicert.eu |
· 192.229.211.153 · 192.229.221.140 · 152.195.35.161 · 192.16.48.236 |
CertCentral Europe CA certificates |
· cacert.digicert.eu |
· 192.229.211.153 · 192.229.221.140 · 152.195.35.161 · 192.16.48.236 |
PKI Platform 8 CRLs |
· See the attached csv file – pki-platform-8-crl-ca-cert-urls.csv |
· 192.229.211.108 · 192.229.221.95 · 152.195.38.76 · 192.16.49.85 |
PKI Platform 8 OCSPs |
· See attached csv file - pki-platform-8-ocsp.csv |
· 152.195.50.149 · 152.199.19.74 · 152.199.38.90 · 192.16.49.240 |
PKI Platform 8 CA certificates |
· See the attached csv file – pki-platform-8-crl-ca-cert-urls.csv |
· 192.229.211.108 · 192.229.221.95 · 152.195.38.76 · 192.16.49.85 |
PKI client downloads |
· pkiclient-updater.digicert.com · pki-downloads.digicert.com |
· 192.229.211.108 · 192.229.221.95 · 152.195.38.76 · 192.16.49.85 |
QuoVadis TrustLink OCSP |
· ocsp.quovadisglobal.com |
· 152.195.13.36 · 152.195.132.213 · 152.195.38.89 · 192.16.49.125 |
| ※以下のURLからCRL配布、OCSPのサービスを提供している場合には影響はありませんので追加作業は不要です。 · one.digicert.com · one.nl.digicert.com · one.ch.digicert.com · one.digicert.co.jp · one.oracle.digicert.com |
||
DigiCert OCSP /CRL 、ならびにPKI Platform 8 サービスにおけるIPv6アドレス
*Service |
URL |
IPv6 addresses |
CertCentral OCSPs |
· ocsp.digicert.com · status.thawte.com · status.geotrust.com · status.rapidssl.com · kr.ocsp.digicert.com · ocsp.digicert-cn.com · ocsp.edge.digicert.com · ocsp.omniroot.com · ocsp1.digicert.com · ocsp2.digicert.com · ocspx.digicert.com · statusd.digitalcertvalidation.com · statuse.digitalcertvalidation.com · statusf.digitalcertvalidation.com · statush.digitalcertvalidation.com · www.public-trust.com |
· 2606:2800:21f:e650:1228:c9d5:7af4:5a5b · 2606:2800:233:fa02:67b:9ff6:6107:833 · 2606:2800:247:57cb:4371:48bc:8b00:14c3 · 2606:2800:257:5867:485:5080:9d02:28b7 |
CertCentral CRLs |
· crl3.digicert.com · crl4.digicert.com · cdp.thawte.com · cdp.geotrust.com · cdp.rapidssl.com · cdp1.digicert.com · cdp1.public-trust.com · cdp2.digicert.com · cdph.digitalcertvalidation.com · crl.digicert-cn.com · crl.edge.digicert.com · crl.pki.abb.com |
· 2606:2800:21f:e650:1228:c9d5:7af4:5a5b · 2606:2800:233:fa02:67b:9ff6:6107:833 · 2606:2800:247:57cb:4371:48bc:8b00:14c3 · 2606:2800:257:5867:485:5080:9d02:28b7 |
CertCentral Europe OCSPs |
· ocsp.digicert.eu |
· 2606:2800:21f:9c1e:67b0:7bce:849:df00 · 2606:2800:233:74d9:9d2c:b7bf:16ae:2ec · 2606:2800:247:868c:d31a:6345:7b:a3c0 · 2606:2800:257:1ac8:59c0:2581:25ed:64bc |
CertCentral Europe CRLs |
· crl.digicert.eu |
· 2606:2800:21f:9c1e:67b0:7bce:849:df00 · 2606:2800:233:74d9:9d2c:b7bf:16ae:2ec · 2606:2800:247:868c:d31a:6345:7b:a3c0 · 2606:2800:257:1ac8:59c0:2581:25ed:64bc |
CertCentral Europe CA certificates |
· cacert.digicert.eu |
· 2606:2800:21f:9c1e:67b0:7bce:849:df00 · 2606:2800:233:74d9:9d2c:b7bf:16ae:2ec · 2606:2800:247:868c:d31a:6345:7b:a3c0 · 2606:2800:257:1ac8:59c0:2581:25ed:64bc |
PKI Platform 8 CRLs |
· See the attached csv file – pki-platform-8-crl-ca-cert-urls.csv |
· 2606:2800:21f:e650:1228:c9d5:7af4:5a5b · 2606:2800:233:fa02:67b:9ff6:6107:833 · 2606:2800:247:57cb:4371:48bc:8b00:14c3 · 2606:2800:257:5867:485:5080:9d02:28b7 |
PKI Platform 8 OCSPs |
· See attached csv file - pki-platform-8-ocsp.csv |
· 2606:2800:21f:5923:5d60:4b12:209c:3bb3 · 2606:2800:233:f75c:41f2:5278:c97:7c42 · 2606:2800:247:5f3a:a0d1:7719:f5b7:4aa7 · 2606:2800:257:b88b:6a1:e8d5:31ac:b760 |
PKI Platform 8 CA certificates |
· See the attached csv file – pki-platform-8-crl-ca-cert-urls.csv |
· 2606:2800:21f:e650:1228:c9d5:7af4:5a5b · 2606:2800:233:fa02:67b:9ff6:6107:833 · 2606:2800:247:57cb:4371:48bc:8b00:14c3 · 2606:2800:257:5867:485:5080:9d02:28b7 |
PKI client downloads |
· pkiclient-updater.digicert.com · pki-downloads.digicert.com |
· 2606:2800:21f:e650:1228:c9d5:7af4:5a5b · 2606:2800:233:fa02:67b:9ff6:6107:833 · 2606:2800:247:57cb:4371:48bc:8b00:14c3 · 2606:2800:257:5867:485:5080:9d02:28b7 |
QuoVadis TrustLink OCSPs |
· ocsp.quovadisglobal.com |
· 2606:2800:21f:21f4:c91e:c3c9:75b4:341d · 2606:2800:233:7a2d:90b3:5a75:2722:801b · 2606:2800:247:3577:6861:1cf4:9ff1:ab05 · 2606:2800:257:db7f:cb04:fdd:d200:8f3f |
| ※以下のURLからCRL配布、OCSPのサービスを提供している場合には影響はありませんので追加作業は不要です。 · one.digicert.com · one.nl.digicert.com · one.ch.digicert.com · one.digicert.co.jp · one.oracle.digicert.com |
||
