質問

Advanced Search

Alert ID : INFO4705

Last Modified : 05/25/2021

[マネージドPKI for SSL] Managed CA対応リリース後のTLS/SSL証明書の OCSPおよびCRLについて

Description

デジサートの次世代 Web PKI 階層は、TLS/SSL 証明書の近代化と合理化を目指しています。デジサートでは2017年12月1日以降、グローバルで既に広く普及しているDigiCertルート証明書を活用し、このルート証明書から全てのパブリックTLS/SSL証明書の発行を開始する予定です。新しいルート/中間CA証明書の詳細につきましては以下の記事をご参照ください。

[INFO4696] Managed CA対応リリース後のルート/中間の階層構造について – Part2 (詳細)

新しいルート証明書から発行されるパブリックTLS/SSL証明書の証明書プロファイルには新しいOCSPおよびCRLが含まれます。
•    OCSP (オンライン証明書ステータスプロトコル) とは、単一の証明書のステータスについて確認するためのインターネットプロトコルです。
•    CRL (証明書失効リスト) とは認証局が現在失効している全証明書のリストです。

注意点

自社ネットワークからアクセスできるURLをファイアウォールおよび/またはアクセス制御機器で制限されている場合、新しいOCSPおよびCRLへのアクセスが行えるように、これらをホワイトリストに追加ください。
ホワイトリストへのワイルドカードでのエントリが禁じられている場合、FQDNで追加ください。
新しいOCSPおよびCRLのリストは以下になります。
 

Product Hierarchy Intermediate CA Root CA OCSP CRL
セキュア・サーバID EV
グローバル・サーバID EV
SHA-256 with RSA and SHA-1 root DigiCert SHA2 Extended Validation Server CA DigiCert High Assurance EV Root CA http://ocsp.digicert.com http://crl3.digicert.com/sha2-ev-server-g2.crl
http://crl4.digicert.com/sha2-ev-server-g2.crl
セキュア・サーバID EV
グローバル・サーバID EV
SHA-256 with RSA and SHA-256 root DigiCert Global CA G2 DigiCert Global Root CA http://ocsp.digicert.com http://crl3.digicert.com/DigiCertGlobalCAG2.crl
http://crl4.digicert.com/DigiCertGlobalCAG2.crl
グローバル・サーバID EV ECDSA with SHA-256 and RSA root DigiCert ECC Extended Validation Server CA DigiCert High Assurance EV Root CA http://ocsp.digicert.com http://crl3.digicert.com/DigiCertECCExtendedValidationServerCA.crl
http://crl4.digicert.com/DigiCertECCExtendedValidationServerCA.crl
グローバル・サーバID EV ECDSA with SHA-256 and ECC root DigiCert Extended Validation CA G3 DigiCert Global Root G3 http://ocsp.digicert.com http://crl3.digicert.com/evca-g3-group1.crl
http://crl4.digicert.com/evca-g3-group1.crl
セキュア・サーバID
グローバル・サーバID
SHA-256 with RSA and SHA-1 root DigiCert SHA2 Secure Server CA DigiCert Global Root CA http://ocsp.digicert.com http://crl3.digicert.com/ssca-sha2-g6.crl
http://crl4.digicert.com/ssca-sha2-g6.crl
セキュア・サーバID
グローバル・サーバID
SHA-256 with RSA and SHA-256 root DigiCert Global CA G2 DigiCert Global Root G2 http://ocsp.digicert.com http://crl3.digicert.com/DigiCertGlobalCAG2.crl
http://crl4.digicert.com/DigiCertGlobalCAG2.crl
グローバル・サーバID ECDSA with SHA-256 and RSA root DigiCert ECC Secure Server CA DigiCert Global Root CA http://ocsp.digicert.com http://crl3.digicert.com/ssca-ecc-g1.crl
http://crl4.digicert.com/ssca-ecc-g1.crl
グローバル・サーバID ECDSA with SHA-256 and ECC root DigiCert Global CA G3 DigiCert Global Root G3 http://ocsp.digicert.com http://crl3.digicert.com/DigiCertGlobalCAG3.crl
http://crl4.digicert.com/DigiCertGlobalCAG3.crl


自社ネットワークからアクセスできるIPアドレスをファイアウォールおよび/またはアクセス制御機器で制限されている場合、対象のURLを既存リストに追加ください。下記は代表的なIPアドレスとなります。DNSをご確認のうえ既存リストに追加ください。また、現在登録されているシマンテックのOCSP/CRLのURL、または/および IPアドレスは削除しないでください。

  • 192.16.58.8
  • 117.18.237.29
  • 93.184.220.29
  • 72.21.91.29
  • 204.93.150.152