質問

General Information ID : INFO4707

Managed CA対応リリース後のTLS/SSL証明書の OCSPおよびCRLについて

Description

ジオトラストの次世代 Web PKI 階層は、TLS/SSL 証明書の近代化と合理化を目指しています。ジオトラストでは2017年12月1日までに、グローバルで既に広く普及しているDigiCertルート証明書を活用し、このルート証明書から全てのパブリックTLS/SSL証明書の発行を開始する予定です。新しいルート/中間CA証明書の詳細につきましては以下の記事をご参照ください。

[INFO4698] Managed CA対応リリース後のルート/中間の階層構造について – Part2 (詳細)

新しいルート証明書から発行されるパブリックTLS/SSL証明書の証明書プロファイルには新しいOCSPおよびCRLが含まれます。
•    OCSP (オンライン証明書ステータスプロトコル) とは、単一の証明書のステータスについて確認するためのインターネットプロトコルです。
•    CRL (証明書失効リスト) とは認証局が現在失効している全証明書のリストです。
 

注意点

自社ネットワークからアクセスできるURLをファイアウォールおよび/またはアクセス制御機器で制限されている場合、新しいOCSPおよびCRLへのアクセスが行えるように、これらをホワイトリストに追加ください。
ホワイトリストへのワイルドカードでのエントリが禁じられている場合、FQDNで追加ください。
新しいOCSPおよびCRLのリストは以下の通りです。

製品名 証明書署名アルゴリズムHierarchy 中間証明書 ルート証明書 OCSP CRL Test Site
トゥルービジネスID with EV RSA SHA-2(SHA-256)(推奨) GeoTrust EV RSA CA 2018 DigiCert High Assurance EV Root CA http://status.geotrust.com http://cdp.geotrust.com https://ev-root.chain-demos.digicert.com/
トゥルービジネスID with EV SHA-256 フルチェーン GeoTrust TLS RSA CA G1 DigiCert Global Root G2 http://status.geotrust.com http://cdp.geotrust.com https://global-root-g2.chain-demos.digicert.com/

トゥルービジネスID
クイックSSLプレミアム

RSA SHA-2(SHA-256)(推奨) GeoTrust RSA CA 2018 DigiCert Global Root CA http://status.geotrust.com http://cdp.geotrust.com https://global-root-ca.chain-demos.digicert.com/
トゥルービジネスID
クイックSSLプレミアム
SHA-256 フルチェーン GeoTrust TLS RSA CA G1 DigiCert Global Root G2 http://status.geotrust.com http://cdp.geotrust.com https://global-root-g2.chain-demos.digicert.com/


自社ネットワークからアクセスできるIPアドレスをファイアウォールおよび/またはアクセス制御機器で制限されている場合、以下のIPアドレスを既存リストに追加ください。また、現在登録されているシマンテックのOCSP/CRL IPアドレスは削除しないでください。

  • 192.16.58.8
  • 117.18.237.29
  • 93.184.220.29
  • 72.21.91.29
  • 66.225.197.197