質問

Advanced Search

Solution ID : SO28074

Last Modified : 11/20/2018

クロスルート設定用証明書の設定について、どのような対応が必要でしょうか?

Problem

管理・運営しているウェブサーバで、クロスルート設定用証明書の設定についてどのような対応が必要なのでしょうか?

Solution

この内容は2017/11/30までにジオトラストCAから発行された証明書についての内容です。参考情報としてご参照ください。

 

以下のステップで、お客様のウェブサーバにおいてクロスルート設定用証明書の設定に対する対応が必要か否かと、その内容についてご確認ください。

Step1:お客様のウェブサーバにおけるクロスルート設定用証明書の設定要否の確認


クロスルート設定用証明書の設定は、お客様のウェブサーバの環境が以下の条件に当てはまる場合にのみ限定して推奨されます。
条件にあてはまらない場合は、設定を推奨いたしません。

<クロスルート設定用証明書の設定が推奨される条件>

  • POSやATMなどの業務端末や機器、OA機器や家電、従来型の携帯電話など、新しい暗号技術 (*1) に対応したルート証明書 (*2) が搭載されていないクライアント環境からのアクセスを想定している場合
    • 上記のような環境は、PCやスマートフォンのブラウザに比べ、耐用年数が長くアップデートが容易でないため、新しい暗号技術 (*1) に対応したルート証明書 (*2) が搭載されていない場合があります。新しいルート証明書は搭載されていないが、古くから普及するルート証明書は搭載されている場合、ウェブサーバ側にSSLサーバ証明書と併せてクロスルート証明書を設定することによって、こうしたクライアント環境との接続が可能となります。
    • 不特定多数のユーザから、PCブラウザを含む不特定のクライアント環境からのアクセスを想定している場合は、クロスルート証明書の設定は推奨されません。こうしたクライアント環境では、頻繁なアップデートの適用により、クロスルート証明書ならびに古くから普及するルート証明書 (*3) が利用不可となる可能性があるためです。
       
*1:公開鍵暗号におけるRSA2048bit、デジタル署名におけるSHA-2アルゴリズム等を指します。
*2:ジオトラストのSSLサーバ証明書製品(全製品共通)における「新しい暗号技術に対応したルート証明書」ならびに「古くから普及するルート証明書」とは、以下のルート証明書を指します。
<トゥルービジネスID with EVの場合>
  • 新しい暗号技術に対応したルート証明書「GeoTrust Primary Certification Authority」
  • 古くから普及するルート証明書:「Equifax Secure Certificate Authority」

<トゥルービジネスID with EV以外のSSLサーバ証明書製品の場合>
  • 新しい暗号技術に対応したルート証明書「GeoTrust Global CA」
  • 古くから普及するルート証明書:「Equifax Secure Certificate Authority」

※ 各ルート証明書の詳細は弊社ウェブサイト(英語)をご確認ください。
http://www.geotrust.com/resources/root_certificates/index.asp
 

Step2:現状でのお客様のウェブサーバにおけるクロスルート設定用証明書の設定の有無の確認


当社の「SSLツールボックス」等をご利用いただき、お客様のウェブサーバにクロスルート証明書が設定されているか否かをご確認いただくことが可能です。

以下のサイトへアクセスし、コモンネームを入力して「Check」をクリックしてください。
「GeoTrust Primary Certification Authority」や「GeoTrust Global CA」が、Intermediate certificateとして確認できる場合は、クロスルート証明書が適用されています。

Step3:必要な対応の確認


Step1、Step2 の結果を踏まえて以下の表1:チェックシートに照らしていただき、お客様のウェブサーバにおけるクロスルート証明書の設定に対するアクションの要否とその内容をご確認ください。
 
表1:チェックシート クロスルート設定用証明書の設定に対する対応の要否と内容
 
Step2の確認結果
設定している 設定していない
Step1の確認結果 必要である  
 お客様のウェブサーバの
 クロスルート設定用証明書の
 設定状況は適切であり、
 変更の必要はありません。

 お客様のウェブサーバに
 クロスルート設定用証明書を
 追加設定いただくことを
 推奨いたします。 
  FAQ
  クロスルート設定用証明書の追加方法
 
必要でない
 お客様のウェブサーバから
 クロスルート設定用証明書を削除
 していただくことを推奨いたします。
  FAQ
  クロスルート設定用証明書の削除方法
 

 お客様のウェブサーバの
 クロスルート設定用証明書の
 設定状況は適切であり、
 変更の必要はありません。