質問

Solution ID : SO28805

2016年3月 ドメイン認証SSLサーバ証明書における中間CA証明書の仕様変更について

Solution

2016年3月に予定されている中間認証局証明書の変更について、よくある質問を以下にまとめました。

Q1. サーバ管理者は、中間CA証明書の変更と同時に何か対応が必要ですか
Q2. 中間CA証明書の変更の対象製品、スケジュールについて教えてください
Q3. なぜ中間CA証明書の変更を行うのですか
Q4. 中間CA証明書の変更後に申請(新規・更新・乗換・再発行)する場合、サーバ管理者はどのような注意が必要ですか
Q5. PCブラウザ対応率、携帯電話対応率に影響がありますか
Q6. 変更後の中間CA証明書を事前に入手できますか
Q7. 変更が適用されるタイミング、対象となる条件を詳しく教えてください
Q8. 正しい中間CA証明書がインストールされているか確認する方法はありますか
Q9. 認証局証明書変更に伴うEnd-Entity証明書プロファイルの変更点について詳しく教えてください


Q 1. サーバ管理者は、中間認証局証明書の変更と同時に何か対応が必要ですか

A 1:

現在ご利用いただいているSSLサーバ証明書に関しましては、特別な対応を行っていただく必要はありません。ご利用中(仕様変更前に取得)のSSLサーバ証明書は、有効期間満了までそのまま利用できます。
仕様変更後にSSLサーバ証明書を取得した場合は、必ず新しい中間CA証明書も併せてインストールしていただく必要がございます。

 

ページトップへ

Q 2. 中間認証局証明書の変更の対象製品、スケジュールについて教えてください

A 2:

以下の通り、仕様変更を予定しています。

2016年3月1日 15時頃
対象製品:

  • クイックSSL プレミアム
  • ラピッドSSL ワイルドカード
  • ラピッドSSL

 

ページトップへ

Q 3. なぜ中間証明書の変更を行うのですか

A 3:

システムのメンテナビリティを向上し、お客様へより安定したセキュリティ製品・サービスを提供することを目的として、シマンテックグループではSSLサーバ証明書に関連するプラットフォーム統合の取り組みを行っております。
この取り組みの一環として、該当のドメイン認証SSLサーバ証明書を発行(署名)するためのCAの鍵ペアを再作成することとなり、これに伴って中間CA証明書を変更することとなりました。

 

ページトップへ

Q 4. 中間認証局証明書の変更後に申請(新規・更新・乗換)する場合、サーバ管理者はどのような注意が必要ですか

A 4:

申請・取得の基本的な手順に変更はありません。
対象製品において申請(新規・更新・乗換・再発行)し、中間CA証明書の変更後に発行された証明書については、SSLサーバ証明書をウェブサーバにインストールいただく際に、併せて新しい中間CA証明書をインストールする必要があります。

※ 一般的なウェブサーバアプリケーションでの基本的な手順は こちら をご参照ください。

※ 特にサーバ間通信用にジオトラストのSSLサーバ証明書をご利用いただいている場合には、中間認証局証明書の変更後の更新時に、SSLサーバ証明書と併せて新しい中間認証局証明書をインストールする必要がありますので、ご注意ください。
 

ページトップへ

Q 5. PCブラウザ対応率、携帯電話対応率に影響がありますか

A 5:

変更前後の中間CA証明書に関して、公開鍵長やハッシュ関数の変更はございません。またルート証明書の変更はございません。従って、対象製品のブラウザ・携帯電話の対応率などへの影響はございません。
 

ページトップへ

Q 6. 変更後の中間認証局証明書を事前に入手できますか

A 6:

変更後の中間CA証明書は、以下のWebサイトにて公開しております。

【ジオトラスト クイックSSL プレミアム RSA SHA-2専用】 の中間CA証明書
https://www.geotrust.co.jp/resources/repository/intermediate-GeoTrustDVSSLCA-G3.html

【ラピッドSSLワイルドカード RSA SHA-2専用】の中間CA証明書
https://www.geotrust.co.jp/resources/repository/intermediate-RapidSSLSHA256CA.html

[オプション] 【ジオトラスト クイックSSL プレミアム RSA SHA-2 (SHA-2ルート)】の中間CA証明書
https://www.geotrust.co.jp/resources/repository/intermediate-GeoTrustDVSSLSHA256CA.html

[オプション] 【ラピッドSSLワイルドカードRSA SHA-2 (SHA-2ルート)】の中間CA証明書
https://www.geotrust.co.jp/resources/repository/intermediate-RapidSSLSHA256CAG2.html
 

(注)このWebサイトに掲載された中間CA証明書は、変更(2016年3月1日 15時頃)より前に発行された各SSLサーバ証明書ではご利用いただけませんのでご注意ください。

 

ページトップへ

Q 7. 変更が適用されるタイミング、対象となる条件を詳しく教えてください

A 7:

証明書が発行されるタイミングによって、新旧どちらの中間証明書をウェブサーバにインストールすべきかが変わります。

 a. 2016年3月1日(火) 15時頃までに発行されたSSLサーバ証明書:変更前の中間認証局証明書をウェブサーバにインストールしてください。

 b. 2016年3月1日(火) 以降に発行されたSSLサーバ証明書:変更後の中間認証局証明書をウェブサーバにインストールしてください。

なお、適用時間は前後する場合がございます。
特に適用日当日にSSLサーバ証明書を取得したお客様におきましては、以下のいずれかの方法にて適切な中間CA証明書をご選択の上インストールいただきますようお願いいたします。

  方法1. 発行通知メールに含まれるサーバ証明書と中間CA証明書を利用する。
  方法2. サーバ証明書の発行者(Issuer)を確認し弊社レポジトリから中間CA証明書を取得する。

 併せて、証明書をインストールした後にSSLサーバ証明書および中間CA証明書が正しく設定されていることをご確認いただくことを推奨いたします。

 

ページトップへ

Q 8. 正しい中間CA証明書がインストールされているか確認する方法はありますか

A 8:

ジオトラスト クリプトレポートのSSLサーバ証明書インストールチェッカー機能をご利用いただくことで、お客様のウェブサイトでご利用中のSSLサーバ証明書および中間CA証明書が正しく設定されているかをご確認いただくことが可能です。是非ご活用ください。

GeoTrust CryptoReport(ジオトラスト クリプトレポート)
https://cryptoreport.geotrust.com/checker/views/certCheck.jsp
 

ページトップへ

Q 9. 認証局証明書の変更に伴うEnd-Entityプロファイル変更

A 9:

1. 認証局証明書の変更に伴うプロファイル変更

変更内容:中間CA証明書の変更に伴って、失効情報を配信するURLや拡張領域Authority Key Identifierの値等を変更いたします。 詳細はページ下部のPDF資料をご参照ください。
 

2. 有効期間開始日時および終了日時の設定値の変更

変更内容:お客様の利便性および分かり易さの向上を目的に、有効期間開始日時および終了日時の設定値を変更いたします。

【変更前】

有効期間開始日時および終了日時について一定範囲内でランダムな値を設定いたしました。

【変更後】

有効期間開始日を発行日当日とし、時刻を「0 時 00 分(GMT)」、終了時刻を「23 時 59 分(GMT)」へ統一いたします。

 

3. SerialNumberフィールド長の変更

変更内容:Baseline Requirementにおける推奨事項等を踏まえ、証明書シリアル番号のフィールド長を拡張いたします。

【変更前】

最大 4 byte

【変更後】

最大 16 byte

※ 当変更に伴って、Subjectフィールド内のシリアル番号を削除いたします。

 

4. Basic ConstraintsのCriticalityビットの変更

【変更前】

Basic ConstraintsのCriticalityにTRUEを設定

【変更後】

Basic ConstraintsのCriticalityにFALSEを設定

※ 当社では、以上の証明書拡張領域における仕様変更はブラウザ、携帯電話などにおける通常の利用(証明書の検証)に影響を与えるものではないことを確認しております。
しかしながら、サーバ間通信を行うWebアプリケーションや独自の組み込み機器などにおいて、独自に証明書拡張領域の内容を確認する実装が存在する場合には、影響が及ぶ可能性がございますのでご注意ください。

 

5. 自動的に設定されるSANsの値

【変更前】

www. から始まるコモンネームで、サブドメインがwwwのみの場合、SANsにはコモンネームと合わせて、www. を除いたドメイン名が自動登録されます。(※)

【変更後】

www. から始まるコモンネームで、サブドメインがwwwのみの場合、SANsにはコモンネームと合わせて、www. を除いたドメイン名部分が自動登録されます。(※)

または、

コモンネームがドメインのみの場合、SANsにはコモンネームと合わせて、サブドメインwww. を含むFQDNが自動登録されます。

※ wwwで始まるコモンネームでもサブドメインが複数含まれるコモンネームの場合は、ドメイン名部分の自動登録はされません。
例: www.test.geotrust.co.jp のコモンネームの場合、 test.geotrust.co.jp や geotrust.co.jp はSANsとして登録されません。

詳細は以下のFAQをご参照ください。

【FAQ】 「Subject Alternative Names(サブジェクトの別名)」とは何ですか

 

ページトップへ