質問

Advanced Search

Solution ID : SOT0006

Last Modified : 03/15/2023

[CertCentral] ルート証明書/中間CA証明書の階層構造について

Solution

必ずお読みください

弊社では、業界で求められる証明書仕様への迅速な対応を行い、 お客様のセキュリティリスク低減化を推し進めるため、
証明書の中間CA証明書を定期的にアップデートしています。 電子証明書ライフサイクル管理のベストプラクティスとして、
証明書のインストール時には、End-Entity証明書とあわせて 中間CA証明書も必ず最新のものに入れ替えていただくよう
ご案内しております。

 

▶2023年3月9日以降申請の階層構造はこちら(クリック)

ルート証明書

2023年3月より従来のSHA-1ルート(デジサート“G1ルート”)を発行元とする証明書の発行を停止し、
標準的にSHA-2ルート(デジサート“G2ルート”)を発行元とする証明書の提供を開始します。


またあわせて別のオプションとして新たな次世代ルート証明書(第5世代 デジサート“G5ルート”)を発行元とする証明書の提供を開始します。

ルート証明書 公開鍵アルゴリズム 鍵長 署名アルゴリズム(自己署名)
DigiCert Global Root G2 RSA 2048 bit SHA-256 with RSA
DigiCert Global Root G3 ECC P-384 ECDSA with SHA-384
DigiCert Trusted Root G4 RSA 4096bit SHA-384 with RSA
DigiCert TLS RSA4096 Root G5 RSA 4096bit SHA-384 with RSA
DigiCert TLS ECC P384 Root G5 ECC P-384 ECDSA with SHA-384

 

中間CA証明書

グローバルで既に広く普及しているDigiCertルート証明書を活用し、パブリック TLS/SSLサーバ証明書を以下の階層構造で発行いたします。
「署名アルゴリズム」の概要は以下の通りです。

  • Mixed SHA-2:SHA-256 with RSA and SHA-1 root ※2023/3/8にTLS/SSL証明書の発行が終了します
  • Full SHA-2(標準):SHA-256 with RSA and SHA-256 root ※2022/3/9からCertCentralで標準的に発行されているチェーンです
  • Mixed ECC: ECDSA with SHA-384 and RSA root ※2023/3/8にTLS/SSL証明書の発行が終了します
  • Full ECC: ECDSA with SHA-384 and ECC root
製品(*1) 通称 中間証明書 ルート証明書
セキュア・サーバID EV
グローバル・サーバID EV
スタンダード・サーバID EV
Full SHA-2
(標準)
DigiCert EV RSA CA G2 DigiCert Global Root G2
セキュア・サーバID
グローバル・サーバID
スタンダード・サーバID
Full SHA-2
(標準)
新: DigiCert Global G2 TLS RSA SHA256 2020 CA1(2023/3/9以降)
        シリアル番号:0cf5bd062b5602f47ab8502c23ccf066
旧: DigiCert Global G2 TLS RSA SHA256 2020 CA1(2023/3/8以前)
        シリアル番号:085f94c02d857be8cc14ff53eda23e2a
※2023/3/8以前から本階層の証明書を利用されていて再発行を行った場合、発行通知等に旧型が添付されますが新旧どちらでも使用できます。
DigiCert Global Root G2
トゥルービジネスID with EV Full SHA-2
(標準)
GeoTrust EV RSA CA G2 DigiCert Global Root G2
トゥルービジネスID
クイックSSLプレミアム
Full SHA-2
(標準)
GeoTrust TLS RSA CA G1 DigiCert Global Root G2
ラピッドSSL Full SHA-2
(標準)
RapidSSL TLS RSA CA G1 DigiCert Global Root G2
セキュア・サーバID EV
グローバル・サーバID EV
セキュア・サーバID
グローバル・サーバID
スタンダード・サーバID EV
スタンダード・サーバID EV
Full ECC  DigiCert Global G3 TLS ECC SHA384 2020 CA1 DigiCert Global Root G3

セキュア・サーバID EV
グローバル・サーバID EV
スタンダード・サーバID EV
セキュア・サーバID
グローバル・サーバID
スタンダード・サーバID

Full ECC DigiCert G5 TLS ECC SHA384 2021 CA1 DigiCert TLS ECC P384 Root G5
トゥルービジネスID with EV
トゥルービジネスID
クイックSSLプレミアム
Full ECC GeoTrust G5 TLS ECC P-384 SHA384 2022 CA1 DigiCert TLS ECC P384 Root G5
ラピッドSSL Full ECC RapidSSL G5 TLS ECC P-384 SHA384 2022 CA1 DigiCert TLS ECC P384 Root G5

セキュア・サーバID EV
グローバル・サーバID EV
スタンダード・サーバID EV
セキュア・サーバID
グローバル・サーバID
スタンダード・サーバID

Full SHA-2
(G5)
DigiCert G5 TLS RSA4096 SHA384 2021 CA1 DigiCert TLS RSA4096 Root G5
トゥルービジネスID with EV
トゥルービジネスID
クイックSSLプレミアム
Full SHA-2
(G5)
GeoTrust G5 TLS RSA4096 SHA384 2022 CA1 DigiCert TLS RSA4096 Root G5
ラピッドSSL Full SHA-2 RapidSSL G5 TLS RSA4096 SHA384 2022 CA1 DigiCert TLS RSA4096 Root G5
EVコードサイニング証明書
コードサイニング証明書
Full ECC DigiCert Global G3 Code Signing ECC SHA384 2021 CA1 DigiCert Global Root G3
EVコードサイニング証明書
コードサイニング証明書
Full SHA-2 DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1 DigiCert Trusted Root G4
セキュアメールID Mixed SHA-2 DigiCert Assured ID SMIME RSA2048 SHA256 2021 CA1
DigiCert Assured ID Root CA

(*1 )太字は標準的に提供するデフォルト中間チェーンを表しています。

 

クロスルート証明書(オプション)

2023年3月まで標準階層として利用されていたルート証明書へのクロスルートオプションを提供しています。
ウェブサーバ側にサーバ証明書と中間CA証明書に併せてクロスルート証明書を設定いただくことで、
従来の主流であった普及率が高いルート証明書をトラストアンカーとして活用し、SSL/TLS接続におけるチェーン検証を行うことが可能になります。

製品名 証明書署名アルゴリズム 中間証明書 クロスルート証明書 ルート証明書

セキュア・サーバID EV
グローバル・サーバID EV
スタンダード・サーバID EV
セキュア・サーバID
グローバル・サーバID
スタンダード・サーバID

Full SHA-2 DigiCert G5 TLS RSA4096 SHA384 2021 CA1 

DigiCert TLS RSA 4096 Root G5

DigiCert Global Root CA

トゥルービジネスID with EV
トゥルービジネスID
クイックSSLプレミアム

Full SHA-2 GeoTrust G5 TLS RSA4096 SHA384 2022 CA1

DigiCert TLS RSA 4096 Root G5

DigiCert Global Root CA
ラピッドSSL Full SHA-2

RapidSSL G5 TLS RSA4096 SHA384 2022 CA1

DigiCert TLS RSA 4096 Root G5

DigiCert Global Root CA

セキュア・サーバID EV
グローバル・サーバID EV
スタンダード・サーバID EV
セキュア・サーバID
グローバル・サーバID
スタンダード・サーバID

Full ECC DigiCert G5 TLS ECC SHA384 2021 CA1 DigiCert TLS ECC P384 Root G5 DigiCert Global Root G3

トゥルービジネスID with EV
トゥルービジネスID
クイックSSLプレミアム

Full ECC GeoTrust G5 TLS ECC P-384 SHA384 2022 CA1 DigiCert TLS ECC P384 Root G5 DigiCert Global Root G3
ラピッドSSL Full ECC

RapidSSL G5 TLS ECC P-384 SHA384 2022 CA1

DigiCert TLS ECC P384 Root G5 DigiCert Global Root G3

 

 

▶2023年3月8日まで申請の階層構造はこちら(クリック)

ルート証明書

デジサート Web PKI 階層は、TLS/SSL 証明書の近代化と合理化を目指しています。

ルート証明書 公開鍵アルゴリズム 鍵長 署名アルゴリズム(自己署名) Mozilla TLS無効化予定日*1
DigiCert High Assurance EV Root CA RSA 2048 bit SHA-1 with RSA 2026/4/15
DigiCert Global Root CA RSA 2048 bit SHA-1 with RSA 2026/4/15
DigiCert Global Root G2 RSA 2048 bit SHA-256 with RSA 2029/4/15
DigiCert Global Root G3 ECC P-384 ECDSA with SHA-384  -
DigiCert Trusted Root G4 RSA 4096bit SHA-384 with RSA  -
Baltimore CyberTrust Root *2 RSA 2048 bit SHA-1 with RSA 2025/4/15

*1 Mozillaが「信頼しない認証局」としてみなす措置を適用する予定日です。詳細
*2 クロスルートオプションにより利用可能です。有効期限は2025/5/12です。

 

中間CA証明書

グローバルで既に広く普及しているDigiCertルート証明書を活用し、パブリック TLS/SSLサーバ証明書を以下の階層構造で発行いたします。
これまでの「署名アルゴリズム」は以下の通りです。

  • Mixed SHA-2(標準):SHA-256 with RSA and SHA-1 root ※CertCentralで標準的に発行されているチェーンです
  • Full SHA-2: SHA-256 with RSA and SHA-256 root
  • Mixed ECC: ECDSA with SHA-384 and RSA root
  • Full ECC: ECDSA with SHA-384 and ECC root
製品名 *1
署名アルゴリズム 中間証明書 ルート証明書
セキュア・サーバID EV
グローバル・サーバID EV
スタンダード・サーバID EV
Mixed SHA-2 DigiCert SHA2 Extended Validation Server CA DigiCert High Assurance EV Root CA
セキュア・サーバID EV
グローバル・サーバID EV
スタンダード・サーバID EV
Full SHA-2 DigiCert EV RSA CA G2 DigiCert Global Root G2
セキュア・サーバID EV
グローバル・サーバID EV
スタンダード・サーバID EV
Mixed ECC 旧: DigiCert ECC Extended Validation Server CA
旧: DigiCert TLS Hybrid ECC SHA384 2020 CA1(2021/6/9以前)
        シリアル番号: 0a275fe704d6eecb23d5cd5b4b1a4e04
新: DigiCert TLS Hybrid ECC SHA384 2020 CA1(2021/6/10以降)
       シリアル番号: 07f2f35c87a877af7aefe947993525bd
旧:DigiCert High Assurance EV Root CA
新:DigiCert Global Root CA
セキュア・サーバID EV
グローバル・サーバID EV
スタンダード・サーバID EV
Full ECC 旧: DigiCert Extended Validation CA G3
旧: DigiCert Global G3 TLS ECC SHA384 2020 CA1(2021/6/9以前)
        シリアル番号:0d360c448491ce24ed0b3540d870a0dd
新: DigiCert Global G3 TLS ECC SHA384 2020 CA1(2021/6/10以降)
        シリアル番号:0b00e92d4d6d731fca3059c7cb1e1886
DigiCert Global Root G3
セキュア・サーバID
グローバル・サーバID
スタンダード・サーバID
Mixed SHA-2(標準) 旧: DigiCert SHA2 Secure Server CA
旧: DigiCert TLS RSA SHA256 2020 CA1(2021/6/9以前)
        シリアル番号: 0a3508d55c292b017df8ad65c00ff7e4
新: DigiCert TLS RSA SHA256 2020 CA1(2021/6/10以降)
        シリアル番号: 06d8d904d5584346f68a2fa754227ec4
DigiCert Global Root CA
セキュア・サーバID
グローバル・サーバID
スタンダード・サーバID
Full SHA-2 旧: DigiCert Global CA G2
旧: DigiCert Global G2 TLS RSA SHA256 2020 CA1(2023/3/8以前)
        シリアル番号:085f94c02d857be8cc14ff53eda23e2a
DigiCert Global Root G2
セキュア・サーバID
グローバル・サーバID
スタンダード・サーバID
Mixed ECC 旧: DigiCert ECC Secure Server CA
旧: DigiCert TLS Hybrid ECC SHA384 2020 CA1(2021/6/9以前)
        シリアル番号: 0a275fe704d6eecb23d5cd5b4b1a4e04
新: DigiCert TLS Hybrid ECC SHA384 2020 CA1(2021/6/10以降)
       シリアル番号: 07f2f35c87a877af7aefe947993525bd
DigiCert Global Root CA
セキュア・サーバID
グローバル・サーバID
スタンダード・サーバID
Full ECC

旧: DigiCert Global CA G3
旧: DigiCert Global G3 TLS ECC SHA384 2020 CA1(2021/6/9以前)
        シリアル番号:0d360c448491ce24ed0b3540d870a0dd
新: DigiCert Global G3 TLS ECC SHA384 2020 CA1(2021/6/10以降)
  シリアル番号:0b00e92d4d6d731fca3059c7cb1e1886

DigiCert Global Root G3
トゥルービジネスID with EV Mixed SHA-2(標準) GeoTrust EV RSA CA 2018 DigiCert High Assurance EV Root CA
トゥルービジネスID with EV Full SHA-2 GeoTrust EV RSA CA G2 DigiCert Global Root G2
トゥルービジネスID with EV Mixed ECC GeoTrust EV ECC CA 2018 DigiCert High Assurance EV Root CA
トゥルービジネスID
Mixed SHA-2(標準) GeoTrust RSA CA 2018
DigiCert Global Root CA
クイックSSLプレミアム Mixed SHA-2(標準)

旧:GeoTrust RSA CA 2018
旧:GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1
新:GeoTrust Global TLS RSA4096 SHA256 2022 CA1(2022/5/25以降)

DigiCert Global Root CA
トゥルービジネスID
クイックSSLプレミアム
Full SHA-2 GeoTrust TLS RSA CA G1 DigiCert Global Root G2
トゥルービジネスID
クイックSSLプレミアム
Mixed ECC GeoTrust ECC CA 2018 DigiCert Global Root CA
トゥルービジネスID
クイックSSLプレミアム
Full ECC GeoTrust TLS ECC CA G1 DigiCert Global Root G3
ラピッドSSL Mixed SHA-2(標準) 旧:RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1
新:RapidSSL Global TLS RSA4096 SHA256 2022 CA1(2022/5/25以降)
DigiCert Global Root CA
EVコードサイニング証明書 Mixed SHA-2 旧:DigiCert EV Code Signing CA (SHA2) ※2021/5/30提供終了 DigiCert High Assurance EV Root CA 
EVコードサイニング証明書
コードサイニング証明書
Full SHA-2
DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1 DigiCert Trusted Root G4 
EVコードサイニング証明書 Full ECC DigiCert Global G3 Code Signing ECC SHA384 2021 CA1 DigiCert Global Root G3
コードサイニング証明書 Mixed SHA-2 旧:DigiCert SHA2 Assured ID Code Signing CA ※2021/5/30提供終了 DigiCert Assured ID Root CA
セキュアメールID Mixed SHA-2 旧:DigiCert SHA2 Assured ID CA ※2021/12/7提供終了
新:DigiCert Assured ID SMIME RSA2048 SHA256 2021 CA1
DigiCert Assured ID Root CA

*1)太字は標準的に提供するデフォルト中間チェーンを表しています

クロスルート証明書(オプション)

従来型の携帯電話などのクライアント環境は、PCやスマートフォンのブラウザに比べ、耐用年数が長くアップデートが容易でないため、必要なルート証明書が搭載されていない場合があります。こうした場合にウェブサーバ側にSSLサーバ証明書と併せてクロスルート証明書を設定いただくことで、より普及率が高いルート証明書をトラストアンカーとして活用し、SSL/TLS接続におけるチェーン検証を行うことが可能になります。

製品名 証明書署名アルゴリズム 中間証明書 クロスルート証明書 ルート証明書
セキュア・サーバID
グローバル・サーバID
Mixed SHA-2 旧:DigiCert SHA2 Secure Server CA
新:DigiCert TLS RSA SHA256 2020 CA1
DigiCert Global Root CA Baltimore CyberTrust Root
セキュア・サーバID EV
グローバル・サーバID EV
Mixed SHA-2 DigiCert SHA2 Extended Vadation Server CA DigiCert High Assurance EV Root CA Baltimore CyberTrust Root
クイックSSLプレミアム Mixed SHA-2

旧:GeoTrust RSA CA 2018
旧:GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1
新:GeoTrust Global TLS RSA4096 SHA256 2022 CA1

DigiCert Global Root CA Baltimore CyberTrust Root
トゥルービジネスID
Mixed SHA-2 GeoTrust RSA CA 2018
DigiCert Global Root CA Baltimore CyberTrust Root
トゥルービジネスID with EV Mixed SHA-2 GeoTrust EV RSA CA 2018 DigiCert High Assurance EV Root CA Baltimore CyberTrust Root
ラピッドSSL Mixed SHA-2

旧:RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1
新:RapidSSL Global TLS RSA4096 SHA256 2022 CA1

DigiCert Global Root CA Baltimore CyberTrust Root

※上記の各証明書はグローバル リポジトリ(英語)で提供しています