Knowledge Base

2020年9月30日
デジサート・ジャパン合同会社
お客様各位

中間CA証明書の変更(デジサート企業認証(OV)サーバ証明書)に関するご案内 

平素は弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

　弊社では、今後の業界要求事項の変更に対する証明書ライフサイクルの迅速な対応、および軽減化を目的として、SSL/TLSサーバ証明書の中間CA証明書をより短期間で定期的に変更してまいります。その一環として、このたびデジサートブランドの企業認証(OV)証明書を対象として2020年10月16日(金)(予定)以降に発行する証明書より中間CA証明書を下記のとおり変更いたしますのでご案内申し上げます。

なお、上記適用日以前に発行済みの証明書については、中間証明書の入れ替えなどの対応をいただく必要はございません。詳細は下記をご参照ください。

　弊社では引き続きサービスの向上に努めてまいりますので、今後ともご愛顧を賜りますよう、お願い申し上げます。

記

1. 適用日（予定）
   2020年10月16日(金)(日本時間) 
   ※ 日程が変更となる場合は別途ご案内申し上げます。
   ※ また同変更に伴う弊社の作業時間が確定次第、追加でご案内申し上げます。
2. 対象製品ならびに対象の階層構造オプション
   □対象製品
   ・デジサート グローバル・サーバID
   ・デジサート セキュア・サーバID
   ※ EV SSLサーバ証明書、ジオトラストブランドの証明書は対象外です。

   □対象の階層構造オプション
   上述の製品で利用可能な全ての階層構造オプションにおける中間証明書が変更の対象となります。詳細は次のセクションを参照ください。

3. 変更内容および注意点
   
   • 対象製品について変更前後の中間CA証明書の名称は以下表の通りとなります。

   階層構造オプション	変更前	変更後
   標準：RSA SHA-2	DigiCert SHA2 Secure Server CA	DigiCert TLS RSA SHA256 2020 CA1(*1)
   オプション：RSA SHA-2（SHA-2ルート）	DigiCert Global CA G2	DigiCert Global G2 TLS RSA SHA256 2020 CA1
   オプション：ECC（RSAルート）	DigiCert ECC Secure Server CA	DigiCert TLS Hybrid ECC SHA384 2020 CA1
   オプション：ECC（ECCルート）	DigiCert Global CA G3	DigiCert Global G3 TLS ECC SHA384 2020 CA1

   *1 : 万が一変更前の中間証明書やその公開鍵がピニング(固定登録)されている場合の緊急措置として、適用日以降においても、変更前の中間認証局と同一の鍵を用いた証明書を取得いただくことが可能です。当緊急措置が必要な場合は弊社テクニカルサポートまでお問合せください。

   • 変更後の中間CA証明書は弊社リポジトリの「中間CA証明書ダウンロード」ページに公開いたします。https://www.digicert.co.jp/repository/intermediate.html
4. 変更に必要な作業
   上記適用日以降に発行された対象製品の証明書をお客様のウェブサーバにインストールいただく際には、変更後の新しい中間CA証明書を併せてインストールいただく必要があります。
   

   a. 2020年10月15日 (木)(予定)までに発行されたSSLサーバ証明書変更前の中間CA証明書をWebサーバにインストールしてください。
   b. 2020年10月16日 (金)(予定)以降に発行されたSSLサーバ証明書変更後の新しい中間CA証明書をWebサーバにインストールしてください。

   ※ なお、すでに発行済みの証明書には、その有効期間を迎えるまで引き続きご利用いただけます。中間証明書を入れ替えていただく必要はございません。
   ※ ルート証明書に変更はありません。従って、対応ブラウザ・モバイル端末範囲への影響はございません。
   ※ クロスルート証明書に変更はありません。ただし弊社リポジトリ「中間CA証明書ダウンロード」ページより「クロスルート設定用証明書込み：2枚1組バンドル」をご取得・ご活用いただいている場合、このうち中間証明書の内容が変更となりますので、適用日以降にインストールをいただく場合は新しいバンドルをご取得・ご活用ください。

   ■必ずご確認ください■

   特に適用日前後にSSL/TLSサーバ証明書を取得したお客様におきましては、以下のいずれかの方法にて適切な中間CA証明書をご確認・ご選択の上インストールしてください。

   方法1. CertCentral をご利用いただく
   方法2. 発行通知メールから中間CA証明書をご利用いただく
   方法3. 発行されたSSL/TLSサーバ証明書(End-Entity)の発行者(Issuer)を確認し、弊社リポジトリから中間CA証明書を取得する。

   • 併せて、証明書をインストールした後にSSLサーバ証明書および中間CA証明書が 正しく設定されていることをご確認いただくことを推奨いたします。
     デジサートSSL Tools
     https://ssltools.digicert.com/checker/views/checkInstallation.jsp
5. 背景
   　業界全体におけるSSL/TLSサーバ証明書の有効期間短縮をはじめとし、ブラウザコミュニティ、およびCA/ブラウザフォーラム等における要求事項の変更により、今後より一層、SSL/TLSサーバ証明書ライフサイクル管理に対し迅速な対応が求められてまいります。また、これらの変更による中間CA証明書、およびEnd-Entity証明書への影響を軽減する目的とし、弊社では中間CA証明書のライフサイクルをより短く管理していく方針であり、その一環として、デジサートブランドの企業認証(OV)証明書の中間CA証明書をこのたび変更させていただくことといたしました。
   　弊社では、SSL/TLSサーバ証明書ライフサイクル管理のベストプラクティスとして、証明書のインストール時には、End-Entity証明書とあわせて中間CA証明書も必ず入れ替えていただくようご案内しております。証明書のライフサイクル管理手順において中間CA証明書を固定登録すること、またはハードコーディングすることは非推奨とさせていただきます。お客様におきましても、この機会にあらためて中間CA証明書のお取り扱いにご留意いただき、運用の変更をご検討いただきますようお願い申し上げます。

    

   より詳細な背景や狙いについては、こちらの弊社ブログ(英文)を併せてご参照ください。「証明書のピンニングはやめましょう」https://www.digicert.com/jp/blog/certificate-pinning-what-is-certificate-pinning/

6. 今後の予定について
   弊社SSL/TLＳサーバ証明書における今後の中間CA証明書の変更の計画については以下の弊社ウェブページをご参照ください。
   

   「【重要】デジサート中間CA証明書変更に関するお知らせ」(日本語): https://knowledge.digicert.com/ja/jp/alerts/ALERT2709.html
   (英語):「DigiCert ICA Update」https://knowledge.digicert.com/alerts/DigiCert-ICA-Update.html

7. 本件に関するお問合せ先はこちら