Knowledge Base

2022年5月17日

デジサート・ジャパン合同会社

　弊社では、業界要求事項の変更に対する証明書ライフサイクルの迅速な対応、および軽減化を目的として、SSL/TLSサーバ証明書の中間CA証明書を定期的に
変更してまいります。その一環として、このたびジオトラスト クイックSSL プレミアム等ドメイン認証製品の中間CA証明書を下記のとおり変更いたしますので
ご案内申し上げます。詳細は下記をご参照ください。

1. 適用日時
   2022年5月25日(水) 午前0:00 より順次
   
   ※同変更に伴う弊社の作業を0:00 〜 2:00の間に実施いたします。 同作業に伴うサービスの停止はございませんが、証明書が発行される時間帯により、
   中間CA証明書が異なりますので何卒ご了承ください。
   ※時間は前後する場合がありますので何卒ご了承ください。
   

    

   ご注意ください(5月25日更新)【完了致しました】

   2022年5月17日にご案内いたしました「ドメイン認証SSLサーバ証明書の中間CA証明書変更に関するご案内」に関しまして、
   新中間CA証明書への切り替え作業が予定時刻よりも遅延しておりますことをお知らせ申し上げます。証明書をインストールの際には、発行元の
   中間CA証明書をご確認のうえ、ダウンロードし証明書をインストールいただきますようお願い申し上げます。発行元となる中間CA証明書は、以下の方法で
   ご確認、およびご取得いただけます。
   お客様、および関係者の皆様にはご迷惑をおかけし誠に申し訳ございません。
   https://knowledge.digicert.com/ja/jp/alerts/ALERT2806.html

2. 対象製品
   
   • ドメイン認証製品
     ジオトラスト クイック SSL プレミアム
     ラピッドSSL
     ※マルチドメイン、ワイルドカードを含みます。
     ※ジオトラスト 企業認証SSL/TLSサーバ証明書、
     およびEV SSLサーバ証明書は対象外です。
3. 変更内容および注意点
   
   • 中間CA証明書を変更いたします。
     【クイックSSLプレミアム RSA SHA-2専用中間CA証明書】
     （変更前）GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1
     （変更後）GeoTrust Global TLS RSA4096 SHA256 2022 CA1
     
     【ラピッドSSL RSA SHA-2専用中間CA証明書】
     （変更前）RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1
     （変更後）RapidSSL Global TLS RSA4096 SHA256 2022 CA1
   • 対象製品のオプションとしてご提供しております「Full SHA-2」タイプの SSLサーバ証明書をご取得の場合は対象外です。
   • 上記適用以降に発行された対象製品の証明書をお客様のウェブサーバに インストールいただく際には、変更後の新しい中間CA証明書を併せて
     インストールいただく必要があります。
     ※なお、すでに発行済みの証明書には、その有効期間を迎えるまで引き続きご利用いただけます。証明書を入れ替えていただく必要はございません。
   
   ■必ずご確認ください■
   
   • 適用時間は前後する場合がございます。 特に適用日日時前後にSSL/TLSサーバ証明書を取得したお客様におきましては、 以下のいずれかの方法にて
     適切な中間CA証明書をご選択の上インストールしてください。
     
     方法1．発行通知メールに含まれるサーバ証明書と中間CA証明書をご利用する。
     方法2. CertCentralのオーダページからサーバ証明書と中間CA証明書を
     ダウンロードして利用する。
     方法3．サーバ証明書の発行者(Issuer)を確認し弊社リポジトリから
     中間CA証明書を取得する。
     
     弊社リポジトリ:
     https://www.digicert.com/kb/digicert-root-certificates.htm
   • 併せて、証明書をインストールした後にSSLサーバ証明書および中間CA証明書が正しく設定されていることをご確認いただくことを推奨いたします。
     デジサート Diagnostic Tool
     https://www.digicert.com/help/
   • 万が一変更前の中間CA証明書やその公開鍵がピニング(固定登録)されている場合の緊急措置として、適用日以降においても、変更前の
     中間CA証明書から発行する証明書を取得いただくことが可能です。ただしこの場合、2022年5月31日以降に発行される証明書はその有効期間が
     １年未満に 短縮されますことを何卒ご了承ください。
     当緊急措置が必要な場合は弊社テクニカルサポートまでお問合せください。
4. 背景
   業界全体におけるSSL/TLSサーバ証明書の有効期間短縮をはじめとし、
   ブラウザコミュニティ、およびCA/ブラウザフォーラム等における要求事項の変更により、SSL/TLSサーバ証明書ライフサイクル管理に対し迅速な対応が
   求められてまいります。
   また、これらの変更による中間CA証明書、および End-Entity証明書への影響を軽減する
   目的とし、弊社では中間CA証明書のライフサイクルをより短く管理していく方針であり、その一環としての取り組みとなります。
   
   弊社では、SSL/TLSサーバ証明書ライフサイクル管理のベストプラクティスとして、証明書のインストール時には、End-Entity証明書とあわせて中間CA証明書も
   必ず入れ替えていただくようご案内しております。証明書のライフサイクル管理手順において中間CA証明書を固定登録すること、またはハードコーディング
   することは非推奨とさせていただきます。お客様におきましても、この機会にあらためて中間CA証明書のお取り扱いにご留意いただき、運用の変更を
   ご検討いただきますようお願い申し上げます。より詳細な背景や狙いについては、こちらの弊社ブログを併せてご参照ください。
   
   [ブログ] 証明書のピニングはやめましょう
   https://www.digicert.com/jp/blog/certificate-pinning-what-is-certificate-pinning
5. 本件に関するお問合せ先はこちら