- お問い合わせ
-
言語を選択
Knowledge Base
DigiCert 中間CA証明書変更に関する情報
事象
※本ページは米国ページを元に作成されています。
Digicert は次の理由により中間CA証明書の変更を行います。:
- 証明書ライフサイクルへの迅速な対応
- 中間CA証明書のピニングやハードコーディング等の固定利用をさせないようにする
- 業界や CA/Browser Forum のガイドラインの変更による中間CA証明書やエンドエンティティ証明書への影響を緩和する
中間CA証明書はなぜ必要なのでしょうか?
認証局 (CA) は、ルート証明書を発行元として中間 CA証明書を、中間CA証明書を発行元として証明書を発行しています。
そのため証明書は複数階層構造となっており、ブラウザ等のクライアントアプリケーション等からサイトにアクセスする際は、
サイトに設置している証明書と中間CA証明書をたどって、最終的にクライアントに搭載されているルート証明書を使用して
証明書を検証します。
そのため、中間CA証明書を設定していない場合、正しいチェーンをたどれず証明書エラーが発生する原因につながります。
参考:SOT0006 ルート証明書/中間CA証明書の階層構造について
新中間CA証明書に変更することによる影響は?
次のような中間CA証明書の利用を行っていない限り、特別な対応は必要ありません
- 旧中間CA証明書を固定登録(ピニング)して使用している
- 旧中間CA証明書の使用前提として開発したプログラム等のソースコードの中に記述する等のハードコーディングを行っている
- 旧中間CA証明書が含まれる証明書ストアを使った利用を行っている
上記の使用を行っている場合は、今後中間CA証明書の随時更新するような運用をご検討ください。
中間CA証明書の変更による既存の証明書への影響は?
新しい中間CA証明書がリリースされても、既存の旧中間CA証明書を使用してる証明書には影響しません。
旧中間CA証明書を失効するわけではありませんので、旧中間CA証明書から発行されたすべての証明書はその有効期限が切れるまでは引き続きご利用いただけます。
ただし、新中間CA証明書のリリース後、旧中間CA証明書を発行元とする証明書を再発行すると、新中間CA証明書を発行元とする証明書が発行されますので、新中間CA証明書を設定する必要があります。
中間CA証明書の変更対応漏れを防ぐためのベストプラクティスは?
証明書が発行されると、証明書および中間CA証明書は発行通知の添付ファイルに含まれます。
またCertCentralの対象のオーダーページからダウンロードすることもできます。
それらのファイルにはその証明書の発行元である適切な中間CA証明書が含まれていますので、
発行毎にそれをインストールすることで、対応漏れを防ぐことができます。
参考:SOT0002 サーバ証明書 インストール手順
中間CA証明書の取得方法
先述の通り、発行通知の添付ファイルやCertCentralからダウンロードできます。
また DigiCert Trusted Root Authority Certificates ページでも常にダウンロードすることができます。
これまでの変更履歴は以下の通りです。
2022年5月 DV製品 中間CA証明書の変更
2022年5月25日以降に発行する中間CA証明書は、新しい中間CA証明書が発行元となります。
旧中間CA証明書のピニングやハードコーディング等を実施されている場合は更新することを推奨します。
対象製品
- ジオトラストクイックSSLプレミアム
- Rapid SSL
| 旧中間CA証明書 | 新中間CA証明書 | 発行元ルート証明書 | OCSP | CRL |
|
GeoTrust Global TLS RSA4096 SHA256 2022 CA1 | DigiCert Global Root CA | http://ocsp.digicert.com | http://crl3.digicert.com |
|
RapidSSL Global TLS RSA4096 SHA256 2022 CA1 | DigiCert Global Root CA | http://ocsp.digicert.com | http://crl3.digicert.com |
2021年12月 クライアント証明書 中間CA証明書の変更
2021年12月7日に中間CA証明書が変更になりました。この変更は、クライアント証明書の業界標準に準拠するため行われました。
旧中間CA証明書のピニングやハードコーディング等を実施されている場合は更新することを推奨します。
旧中間CA証明書/ルート証明書 |
新中間CA証明書/ルート証明書 |
新中間証明書のシリアル番号 |
|
|
0F:FA:E1:F3:1A:2B:43:3C:3D:9A:E1:6D:64:3B:58:8B |
2021年6月 EV\OV製品 中間CA証明書のプロファイル変更
2021年6月9日 下記中間CA証明書のプロファイル変更を行いました。
この変更は、GoogleChromeのEVインジケーターとの互換性を回復させるために行われました。
そのため、旧中間CA証明書と新中間CA証明書はシリアル番号は異なりますが、
同一のキーペアおよび同一サブジェクト名ですので、どちらを利用しても問題は発生しません。
対象製品
- セキュア・サーバID EV
- グローバル・サーバID EV
- スタンダード・サーバID EV
- セキュア・サーバID
- グローバル・サーバID
- スタンダード・サーバID
| 中間CA証明書 | 旧シリアル番号 | 新シリアル番号 |
| DigiCert TLS RSA SHA256 2020 CA1 | 0a3508d55c292b017df8ad65c00ff7e4 | 06d8d904d5584346f68a2fa754227ec4 |
| DigiCert Global G3 TLS ECC SHA384 2020 CA1 | 0d360c448491ce24ed0b3540d870a0dd | 0b00e92d4d6d731fca3059c7cb1e1886 |
| DigiCert TLS Hybrid ECC SHA384 2020 CA1 | 0a275fe704d6eecb23d5cd5b4b1a4e04 | 07f2f35c87a877af7aefe947993525bd |
| DigiCert G5 TLS ECC SHA384 2021 CA1 | 041c5d282eb3710e6b72c2dabd26716f | |
| DigiCert G5 TLS RSA4096 SHA384 2021 CA1 | 0e6458e754ec9cc7bac83231d5f94d58 | |
| DigiCert G5 RSA4096 SHA384 2021 CA1 | 0e8d2840ae4825905618b3a8a9e17a47 | |
| DigiCert G5 ECC SHA384 2021 CA1 | 060e453e9bf768c659336a5b02b47113 |
2020年11月 中間CA証明書の変更
2020年11月2日以降に発行する中間CA証明書は、新しい中間CA証明書が発行元となります。
旧中間CA証明書のピニングやハードコーディング等を実施されている場合は更新することを推奨します。
対象製品
- セキュア・サーバID EV
- グローバル・サーバID EV
- スタンダード・サーバID EV
- セキュア・サーバID
- グローバル・サーバID
- スタンダード・サーバID
| 旧中間CA証明書 | 新中間CA証明書 |
発行元ルート証明書 |
OCSP | CRL |
DigiCert SHA2 Secure Server CA |
DigiCert TLS RSA SHA256 2020 CA1 *CertCentralで デフォルトで発行される証明書の中間CA証明書になります。 |
DigiCert Global Root CA |
http://ocsp.digicert.com |
http://crl3.digicert.com |
DigiCert SHA2 Secure Server CA |
DigiCert SHA2 Secure Server CA |
DigiCert Global Root CA |
http://ocsp.digicert.com |
http://crl3.digicert.com |
DigiCert Baltimore CA-2 G2 |
DigiCert Baltimore TLS RSA SHA256 2020 CA1 |
Baltimore CyberTrust Root |
http://ocsp.digicert.com |
http://crl3.digicert.com |
DigiCert Global CA G2 |
DigiCert Global G2 TLS RSA SHA256 2020 CA1 |
DigiCert Global Root G2 |
http://ocsp.digicert.com |
http://crl3.digicert.com |
DigiCert ECC Secure Server CA |
DigiCert TLS Hybrid ECC SHA384 2020 CA1 |
DigiCert Global Root CA |
http://ocsp.digicert.com |
http://crl3.digicert.com |
DigiCert Baltimore CA-1 G2 |
DigiCert Baltimore SMIME RSA SHA256 2020 CA1 |
Baltimore CyberTrust Root |
http://ocsp.digicert.com |
http://crl3.digicert.com |
DigiCert Global CA G3 |
DigiCert Global G3 TLS ECC SHA384 2020 CA1 |
DigiCert Global Root G3 |
http://ocsp.digicert.com |
http://crl3.digicert.com |
DigiCert Trusted Server CA G4 |
DigiCert Trusted G4 TLS RSA SHA384 2020 CA1 |
DigiCert Trusted Root G4 |
http://ocsp.digicert.com |
http://crl3.digicert.com |
DigiCert ECC Extended Validation Server CA |
DigiCert TLS Hybrid ECC SHA384 2020 CA1 |
DigiCert Global Root CA |
http://ocsp.digicert.com |
http://crl3.digicert.com |
DigiCert Assured ID CA G2 |
DigiCert Global G2 TLS RSA SHA256 2020 CA1 |
DigiCert Global Root G2 |
http://ocsp.digicert.com |
http://crl3.digicert.com |
DigiCert Extended Validation CA G3 |
DigiCert Global G3 TLS ECC SHA384 2020 CA1 |
DigiCert Global Root G3 |
http://ocsp.digicert.com |
http://crl3.digicert.com |
DigiCert High Assurance CA-3 |
DigiCert TLS RSA SHA256 2020 CA1 |
DigiCert Global Root CA |
http://ocsp.digicert.com |
http://crl3.digicert.com |
DigiCert EV Server CA G4 |
DigiCert Trusted G4 TLS RSA SHA384 2020 CA1 |
DigiCert Trusted Root G4 |
http://ocsp.digicert.com |
http://crl3.digicert.com
|
-
法人向けTLS/SSLサーバ証明書、PKI、IoT、署名ソリューションを提供するグローバルリーディングカンパニーです。
-
-
© 2022-2024, DigiCert, Inc. All rights reserved.
Cookie Settings
