Solution ID : SOT0006
Last Modified : 12/07/2022
必ずお読みください
弊社では、業界で求められる証明書仕様への迅速な対応を行い、 お客様のセキュリティリスク低減化を推し進めるため、
証明書の中間CA証明書を定期的にアップデートしています。 電子証明書ライフサイクル管理のベストプラクティスとして、
証明書のインストール時には、End-Entity証明書とあわせて 中間CA証明書も必ず最新のものに入れ替えていただくよう
ご案内しております。
デジサート Web PKI 階層は、TLS/SSL 証明書の近代化と合理化を目指しています。
| ルート証明書 | 公開鍵アルゴリズム | 鍵長 | 署名アルゴリズム(自己署名) | Mozilla TLS無効化予定日*1 |
| DigiCert High Assurance EV Root CA | RSA | 2048 bit | SHA-1 with RSA | 2026/4/15 |
| DigiCert Global Root CA | RSA | 2048 bit | SHA-1 with RSA | 2026/4/15 |
| DigiCert Global Root G2 | RSA | 2048 bit | SHA-256 with RSA | 2029/4/15 |
| DigiCert Global Root G3 | ECC | P-384 | ECDSA with SHA-384 | - |
| DigiCert Trusted Root G4 | RSA | 4096bit | SHA-384 with RSA | - |
| Baltimore CyberTrust Root *2 | RSA | 2048 bit | SHA-1 with RSA | 2025/4/15 |
*1 Mozillaが「信頼しない認証局」としてみなす措置を適用する予定日です。詳細
*2 クロスルートオプションにより利用可能です。有効期限は2025/5/12です。
グローバルで既に広く普及しているDigiCertルート証明書を活用し、パブリック TLS/SSLサーバ証明書を以下の階層構造で発行いたします。
これまでの「署名アルゴリズム」は以下の通りです。
*1)太字は標準的に提供するデフォルト中間チェーンを表しています
従来型の携帯電話などのクライアント環境は、PCやスマートフォンのブラウザに比べ、耐用年数が長くアップデートが容易でないため、必要なルート証明書が搭載されていない場合があります。こうした場合にウェブサーバ側にSSLサーバ証明書と併せてクロスルート証明書を設定いただくことで、より普及率が高いルート証明書をトラストアンカーとして活用し、SSL/TLS接続におけるチェーン検証を行うことが可能になります。
| 製品名 | 証明書署名アルゴリズム | 中間証明書 | クロスルート証明書 | ルート証明書 |
| セキュア・サーバID グローバル・サーバID |
Mixed SHA-2 | 旧:DigiCert SHA2 Secure Server CA 新:DigiCert TLS RSA SHA256 2020 CA1 |
DigiCert Global Root CA | Baltimore CyberTrust Root |
| セキュア・サーバID EV グローバル・サーバID EV |
Mixed SHA-2 | DigiCert SHA2 Extended Vadation Server CA | DigiCert High Assurance EV Root CA | Baltimore CyberTrust Root |
| クイックSSLプレミアム | Mixed SHA-2 | 旧:GeoTrust RSA CA 2018 |
DigiCert Global Root CA | Baltimore CyberTrust Root |
| トゥルービジネスID |
Mixed SHA-2 | GeoTrust RSA CA 2018 |
DigiCert Global Root CA | Baltimore CyberTrust Root |
| トゥルービジネスID with EV | Mixed SHA-2 | GeoTrust EV RSA CA 2018 | DigiCert High Assurance EV Root CA | Baltimore CyberTrust Root |
| ラピッドSSL | Mixed SHA-2 | 旧:RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1 |
DigiCert Global Root CA | Baltimore CyberTrust Root |
2023年3月より従来のSHA-1ルート(デジサート“G1ルート”)を発行元とする証明書の発行を停止し、
標準的にSHA-2ルート(デジサート“G2ルート”)を発行元とする証明書の提供を開始します。
またあわせて別のオプションとして新たな次世代ルート証明書(第5世代 デジサート“G5ルート”)を発行元とする証明書の提供を開始します。
| ルート証明書 | 公開鍵アルゴリズム | 鍵長 | 署名アルゴリズム(自己署名) |
| DigiCert Global Root G2 | RSA | 2048 bit | SHA-256 with RSA |
| DigiCert Global Root G3 | ECC | P-384 | ECDSA with SHA-384 |
| DigiCert Trusted Root G4 | RSA | 4096bit | SHA-384 with RSA |
| DigiCert TLS RSA4096 Root G5 | RSA | 4096bit | SHA-384 with RSA |
| DigiCert TLS ECC P384 Root G5 | ECC | P-384 | ECDSA with SHA-384 |
グローバルで既に広く普及しているDigiCertルート証明書を活用し、パブリック TLS/SSLサーバ証明書を以下の階層構造で発行いたします。
「署名アルゴリズム」の概要は以下の通りです。
(*1 )太字は標準的に提供するデフォルト中間チェーンを表しています。
2023年3月まで標準階層として利用されていたルート証明書へのクロスルートオプションを提供しています。
ウェブサーバ側にサーバ証明書と中間CA証明書に併せてクロスルート証明書を設定いただくことで、
従来の主流であった普及率が高いルート証明書をトラストアンカーとして活用し、SSL/TLS接続におけるチェーン検証を行うことが可能になります。
| 製品名 | 証明書署名アルゴリズム | 中間証明書 | クロスルート証明書 | ルート証明書 |
セキュア・サーバID EV |
Full SHA-2 | DigiCert G5 TLS RSA4096 SHA384 2021 CA1 | DigiCert Global Root CA | |
トゥルービジネスID with EV |
Full SHA-2 | GeoTrust G5 TLS RSA4096 SHA384 2022 CA1 | DigiCert Global Root CA | |
| ラピッドSSL | Full SHA-2 | RapidSSL G5 TLS RSA4096 SHA384 2022 CA1 |
DigiCert Global Root CA | |
セキュア・サーバID EV |
Full ECC | DigiCert G5 TLS ECC SHA384 2021 CA1 | DigiCert TLS ECC P384 Root G5 | DigiCert Global Root G3 |
トゥルービジネスID with EV |
Full ECC | GeoTrust G5 TLS ECC P-384 SHA384 2022 CA1 | DigiCert TLS ECC P384 Root G5 | DigiCert Global Root G3 |
| ラピッドSSL | Full ECC | RapidSSL G5 TLS ECC P-384 SHA384 2022 CA1 |
DigiCert TLS ECC P384 Root G5 | DigiCert Global Root G3 |
※上記の各証明書はグローバル リポジトリ(英語)で提供しています
