DigiCert KnowledgeBase - Technical Support-hero

Knowledge Base

DigiCert TLS証明書の緊急失効に伴う証明書の入れ替えのお願い

ソリューション番号: ALERT2860
最終更新日: 2024/11/14

 

2024年7月31日
デジサート・ジャパン合同会社

 

お客様各位
パートナー様各位

 

拝啓 貴社益々ご清栄のこととお慶び申し上げます。

平素は弊社サービスをご利用頂きありがとうございます。

 本件、改めてお詫びを申し上げるとともに、既に入れ替えのご対応をいただきました
お客様はお忙しいところご対応を頂きお礼申し上げます。ありがとうございます。

 昨日お送りいたしました首記の件につき、本日朝に弊社CEOから失効タイミングの
アップデート【件名: Urgent Revocation Timing Update】を一部のお客様および
パートナー様にお送りしております。本メールはそのメールの抄訳となります。

 お手数でございますが、下記をご確認いただき、入れ替えの対応をよろしくお願い
いたします。お客様にはご迷惑をおかけいたしておりますこと、深くお詫び申し上げます。

敬具

1, 失効タイミングに関するアップデート

 本インシデントについては、CA Browser Forum Baseline Requirement (CABF BR)に
明記されている通り、24 時間以内の失効が必要でございます。一方でお客様の対応状況、
ならびにお客様のご提供されているサービスの中断の可能性の情報をご提供いただき
ありがとうございます。

これらを含めて、特にブラウザベンダー各社を含めた関係者と継続的に協議をいたしており、
本件については、以下の例外扱いをすることを合意いたしました。

失効については、以下の予定となります。

・ 2024年8月1日(木)午前4時30分(日本時間、以下断りのない限り日本時間表記)を
  期限とし、当該時刻までに証明書を入れ替えをお願いいたします

・ 既に対応をいただきましたお客様については、これ以上の対応は不要です

・ 上記の期日までに対応をできない場合には、2024年 8月4日(日)午前4時30分までに
  入れ替えを実施してください
  ただし、この例外扱いの対象とするためには、弊社の以下のメールアドレスに、
  2024年8月1日(木)午前4時30分までに以下の情報を英語にて送付お願いいたします。

弊社にて、本件を議論しているbugzillaと呼ばれる掲示板
https://bugzilla.mozilla.org/show_bug.cgi?id=1910805)に
例外対象のお客様として掲示をさせていただきます

メールアドレス:delayed-revocation-request@digicert.com

<ご提供いただきたい情報>

・ CertCentral のアカウントID

・ 入れ替えが2024年8月1日(木)午前4時30分(日本時間) までに間に合わない場合、
  その理由を英文にて記載をお願いいたします

・ 入れ替えを実施する予定日時(必ず2024年 8月4日(日)午前4時30分以前で
  ある必要がございます)

2024年8月1日(木)午前4時30分までに情報の提供がない場合には、大変恐縮ですが、
2024年8月1日(木)午前4時30分より順次TLS証明書の失効を実施いたします。

2. 本件に関するお問合せ
お問い合わせ先: https://www.digicert.com/jp/contact-us

 

 

2024年7月30日
デジサート・ジャパン合同会社

お客様各位

 

 

拝啓 貴社益々ご清栄のこととお慶び申し上げます。
平素は弊社サービスをご利用頂きありがとうございます。

 先般お送りいたしました、TLS証明書の緊急失効の件について、失効予定の時刻に
誤りがございました。失効は2024年 7月 31日午前 4時30分でございます。
間違った時刻でご迷惑をおかけしたこと、お詫び申し上げます。

以下改めてご案内いたします。

 首記の件につき、弊社が発行いたしましたTLS証明書の認証方法の一つである、
DNS CNAMEを使ったドメイン認証において、一部に当該データの記載フォーマットに
誤りがあるケースがあることが判明いたしました。CA Browser Forum SSL/TLS証明書の
Baseline Reuqirementの取り決めにより、2024年 7月 31日午前 4時30分(日本時間)までに、
失効しなくてはならないことが判明いたしました。


 お客様にはご迷惑をおかけいたしますこと、深くお詫び申し上げます。
大変お手数ではございますが、当該証明書の再発行とサーバーへの入れ替え作業を
お願い申し上げます。

詳細につき、下記に記載の内容をご確認いただきたくお願いいたします。

敬具

1. 影響を受ける証明書

 弊社が発行しているTLS/SSL証明書のうち、 ドメイン認証( DCV、Domain Control
Validation )にDNS CNAMEを使用した認証のうち、CNAMEに設定するユニークな
ランダム値を含むデータ記載のフォーマットに、本物のFQDNなどと同一の記載に
ならないように、アンダースコアをプレフィックスとして記載するルールがございます。

今回、このアンダースコアを含まないデータフォーマットが、CA Browser Forumの
SSL/TLS証明書のBaseline Requirement(CABF BR)にて承認されたデータフォーマット
ではないフォーマットにて認証されていたことが判明いたしました。

 今回、対象の証明書は2024年 7月31日(水)午前4時30分(日本時間)までに
失効する必要がございます。お手数ですが、当該時刻までの入れ替えをお願いいたします。


 対象となる証明書は貴社のCertCentralにログインした際に表示いたしますので、
お手数ですが早急にご確認いただきたく、お願いいたします。

2. お客様にご対応いただきたいこと

 対象となる証明書をCertCentralにてご確認いただき、再発行申請(無償)の実施を
お願いいたします。 具体的には以下の手順になります。

<作業手順>

(1) 弊社CertCentral にログインし、[CNAME Revocation Incident] のバナーをクリックし、
対象となる証明書を確認ください

(2) 左メニュー [ 証明書 ] → [ オーダー ] をクリックして、対象の証明書を
ご選択ください

(3) CSRを生成します

(4) Orderのページの対象の証明書の[Certificate Action]から[Reissuance(再発行)]を
選択してください

(5) 改めてドメイン認証を含む必要な認証処理を実施してください

(6) 証明書の発行後、対象サーバーにインストールをお願いいたします

再発行申請の手順は以下参考サイトをご参照ください。

CertCentral「再発行」手順
https://knowledge.digicert.com/ja/jp/solution/SO22888

証明書の発行承認を確認するEメールを受信しました
https://knowledge.digicert.com/ja/jp/solution/SO28000

※該当オーダーのオーダーステータスが「保留中」のまま証明書が発行されない場合には
下記をご確認ください。

• オーダー詳細画面のステータスで[ドメイン名の利用権を証明する]の箇所に
時計マークが表示されている場合:

ドメイン名をクリックします。

ドメイン名利用権を証明するというポップアップが表示されますので、ご希望の方法
(DCV承認メール、DNS TXTレコード、DNS CNAMEレコード、またはファイル認証方式の
いずれか)を選択し、該当ドメイン認証を完了させてください。

ドメイン名の認証申請について
https://knowledge.digicert.com/ja/jp/solution/SO28003

3.本件に関するご案内
 本原因でございました弊社側のシステムにつきましては、緊急にて修正対応完了
しておりますが、関連する業界ルールに基づき、証明書の影響範囲が確認できた時点から
24時間以内に失効をさせる必要があります。大変恐縮ですが、ご対応をお願いいたします。

本件はセキュリティ上の問題はございませんが、弊社を含む全ての認証局を対象とした
業界標準のルールに従い、失効を行う必要がございますこと、ご理解賜りたくお願い
申し上げます。

CA Browser Forum Baseline Requirements
https://cabforum.org/working-groups/server/baseline-requirements/documents/

ご迷惑をおかけいたしますこと、改めて深くお詫び申し上げます。

4. 本件に関するお問合せ
お問い合わせ先: https://www.digicert.com/jp/contact-us