質問

Solution ID : SO24203

2013年11月 企業認証SSLサーバ証明書における中間CA証明書の仕様変更について

Problem

 中間認証局証明書の変更について詳細を教えてください。

Solution

2013年11月から2014年上半期に予定されている中間認証局証明書の変更について、よくある質問を以下にまとめました。

Q 1. サーバ管理者は、中間認証局証明書の変更と同時に何か対応が必要ですか

A 1:

特別な対応を行っていただく必要はありません。ご利用中(仕様変更前に取得)のSSLサーバ証明書は、有効期間満了までそのまま利用できます。

 

ページトップへ

Q 2. 中間認証局証明書の変更の対象製品、スケジュールについて教えてください

A 2:

以下の通り、仕様変更を予定しています。詳しい日程は確定次第更新いたします。

■2013年12月7日(予定)
対象製品:
・トゥルービジネスID
・トゥルービジネスID ワイルドカード

■2014年上半期(予定)
対象製品:
・クイックSSLプレミアム
・ラピッドSSL ワイルドカード

[追記] 2016年3月に実施いたしました
詳細は以下のFAQをご参照ください。

【FAQ】 2016年3月 ドメイン認証SSLサーバ証明書における中間CA証明書の仕様変更について
 

ページトップへ

Q 3. なぜ中間証明書の変更を行うのですか

A 3:

システムのメンテナビリティを向上し、お客様へより安定したセキュリティ製品・サービスを提供することを目的として、シマンテックグループではSSLサーバ証明書に関連するプラットフォーム統合の取り組みを行っております。
この取り組みの一環として、トゥルービジネスIDを発行(署名)するための認証局の鍵ペアを再作成することとなり、これに伴って中間認証局証明書を変更することとなりました。

ページトップへ

Q 4. 中間認証局証明書の変更後に申請(新規・更新・乗換)する場合、サーバ管理者はどのような注意が必要ですか

A 4:

申請・取得の基本的な手順に変更はありません。
中間認証局証明書の変更後に申請(新規・更新・乗換)いただいた証明書については、発行後にウェブサーバにインストールいただく際に、新しい中間証明書が必要となります。

※ 一般的なウェブサーバアプリケーションでの基本的な手順は こちら をご参照ください。

※ 特にサーバ間通信用にジオトラストのSSLサーバ証明書をご利用いただいている場合には、中間認証局証明書の変更後の更新時に、SSLサーバ証明書と併せて新しい中間認証局証明書をインストールする必要がありますので、ご注意ください。

ページトップへ

Q 5. PCブラウザ対応率、携帯電話対応率に影響がありますか

A 5:

変更前後の中間認証局証明書に関して、公開鍵長やハッシュ関数の変更はございません。またルート証明書およびクロスルート設定用証明書 (二階層目)の変更はございません。
従って、対象製品のブラウザ・携帯電話の対応率などへの影響はございません。

※ 最新のブラウザ・携帯電話の対応率については こちら をご参照ください。

ページトップへ

Q 6. 自社で開発する機器やアプリケーションから、変更後の中間認証局証明書をインストールしたサイトにアクセス可能か確認できますか

A 6:

SSL接続テスト用にサイトをご用意しております。動作確認にご利用ください。

仕様変更後のトゥルービジネスIDがインストールされたテストサイト

https://ssltest-tbid.geotrust.co.jp/

 

(注1) これらのWebサイトに導入されたサーバIDの階層構造や証明書の各フィールド等詳細な仕様は現時点での予定であり、今後変更される可能性があります。

(注2) 弊社の都合によりこれらのWebサイトに対して予告なくサーバ停止を伴うメンテナンス作業等を行なう場合があります。ご理解・ご了承ください。

ページトップへ

Q 7. 変更後の中間認証局証明書を事前に入手できますか

A 7:

変更後の中間CA証明書は、以下のWebサイトより取得が可能です。

 

変更後のトゥルービジネスIDおよびトゥルービジネスID ワイルドカード用 中間証明書

https://www.geotrust.co.jp/resources/repository/intermediate-GeoTrustSSLCA-G2.html

 

(注) 事前検証の用途のために掲載しております。このWebサイトに掲載された中間認証局証明書は、変更(2013年12月予定)より前に発行されたトゥルービジネスIDおよびトゥルービジネスID ワイルドカードではご利用いただけませんのでご注意ください。 

ページトップへ

Q 8. 変更が適用されるタイミング、対象となる条件を詳しく教えてください

A 8:

申請完了のタイミングによって、発行されるSSLサーバ証明書と併せて新旧どちらの中間証明書をウェブサーバにインストールすべきかが変わります。

 a.2013年12月6日(金)23時までに申請完了した分:変更前の中間認証局証明書をウェブサーバにインストールしてください。

 b.2013年12月7日(土)以降に申請完了した分:変更後の中間認証局証明書をウェブサーバにインストールしてください。

 ※12月6日(金)23時 ~ 7日(土)4時の間はシステムの定期メンテナンスを実施いたします。

    https://www.geotrust.co.jp/support/maintenance/weekly.html

 

 ※変更適用後に配信される発行通知メールの中でも、お客様がインストールすべき中間認証局証明書についてご案内させていただきますので併せてご確認ください。

ページトップへ

Q 9. 2013年12月の認証局証明書変更に伴うジオトラスト トゥルービジネスIDのプロファイルの変更点について詳しく教えてください

A 9:

2013年12月の認証局証明書変更に伴うジオトラスト トゥルービジネスIDのプロファイルの変更点は以下の通りです。

 

1. 認証局証明書の変更に伴うプロファイル変更

変更内容:認証局証明書の変更に伴って、失効情報を配信するURLや拡張領域Authority Key Identifierの値等を変更いたします。

【変更前】

 CRL配布ポイント: http://gtssl-crl.geotrust.com/crls/gtssl.crl

 OCSPレスポンダ: http://gtssl-ocsp.geotrust.com

 認証局証明書配布ポイント: http://gtssl-aia.geotrust.com/gtssl.crt

 拡張領域Authority Key Identifier(keyID): 42:79:54:1b:61:cd:55:2b:3e:63:d5:3c:48:57:f5:9f:fb:45:ce:4a

【変更後】

CRL配布ポイント: http://gtssl2-crl.geotrust.com/gtssl2.crl

OCSPレスポンダ: http://gtssl2-ocsp.geotrust.com

認証局証明書配布ポイント: http://gtssl2-aia.geotrust.com/gtssl2.cer

拡張領域Authority Key Identifier(keyID): 11:4a:d0:73:39:d5:5b:69:08:5c:ba:3d:bf:64:9a:a8:8b:1c:55:bc

 

2. 有効期間開始時刻および終了時刻の設定値の変更

変更内容:お客様の利便性および分かり易さの向上を目的に、有効期間開始時刻および終了時刻の設定値を変更いたします。

【変更前】

有効期間開始時刻および終了時刻について一定範囲内でランダムな値を設定いたしました。

【変更後】

有効期間開始時刻を「0 時 00 分(GMT)」、終了時刻を「23 時 59 分(GMT)」へ統一いたします。

※ 有効期間開始「日」および終了「日」の設定については変更はございません。

 

3. SerialNumberフィールド長の変更

変更内容:Baseline Requirementにおける推奨事項等を踏まえ、証明書シリアル番号のフィールド長を拡張いたします。

【変更前】

最大 4 byte

【変更後】

最大 16 byte

※ 当変更に伴って、Subjectフィールド内のシリアル番号を削除いたします。

 

4. Key Usageの内容の変更

変更内容:Baseline Requirementにおける推奨事項等を踏まえ、拡張領域Key Usageフィールドの内容を変更いたします。

【変更前】

Key UsageにdigitalSignature, keyEncipherment, dataEncipherment, (0xb0)を含む

【変更後】

Key UsageにdigitalSignature, keyEncipherment, (0xa0)を含む

 

5. Subject Key Identifierの削除

変更内容:Baseline Requirementにおける推奨事項等を踏まえ、拡張領域Subject Key Identifierフィールドを削除いたします。

【変更前】

Subject Key Identifierフィールドを拡張領域に含む

【変更後】

使用しない

 

6. Basic ConstraintsのCriticalityビットの変更

【変更前】

Basic ConstraintsのCriticalityにTRUEを設定

【変更後】

Basic ConstraintsのCriticalityにFALSEを設定

※ 当社では、以上の証明書拡張領域における仕様変更はブラウザ、携帯電話などにおける通常の利用(証明書の検証)に影響を与えるものではないことを確認しております。
しかしながら、サーバ間通信を行うWebアプリケーションや独自の組み込み機器などにおいて、独自に証明書拡張領域の内容を確認する実装が存在する場合には、影響が及ぶ可能性がございますのでご注意ください。

 

ページトップへ

Q 10. 発行通知メールにクロスルート証明書が添付されていません(2014年6月24日追加)

A 10:

2013年12月の仕様変更前に発行済みのトゥルービジネスIDを再発行、または再送した場合に、発行通知メールにクロスルート証明書が添付されない事象が確認されております。

この場合は、クロスルート証明書を以下のウェブサイトから取得いただき、中間CA証明書と合わせてインストールしていただくようお願いいたします。

中間CA証明書ダウンロード