Knowledge Base

2024年6月26日 1時（日本時間）、デジサートは、パブリック証明書のうち、S/MIME証明書の発行に使用する中間CA 証明書を業界標準に準拠した中間CA証明書へ移行いたします。

S/MIME証明書は、拡張キーにEmailProtectionを使用し、少なくとも1つの電子メールアドレスを含む証明書で、メールに対する署名、その検証、暗号化および復号実現します。（対象となる製品、証明書については下記「影響を受けるDigiCert Secure Email  (S/MIME)製品」を参照してください）。

重要：デジサートではページ内の情報を随時更新し　新しい情報をご案内させていただきます。。

 

• S/MIME用の新しい中間CA証明書が必要な理由について
• お客様における中間認証局証明書を切り替えの影響について
• 発行済み証明書への影響について
• DigiCert PKI Platform 8における特記事項
• DigiCert セキュアメールIDの特記事項（日本のみ）
• DigiCert Class1証明書の特記事項（日本のみ）
• 中間CA証明書の切り替えに時間が必要な場合の対応について
• 影響を受けるDigiCert Secure Email (S/MIME)製品
• 新しいS/MIME用中間認証局証明書について （2024年実施）[y1]

 

パブリックS/MIME用に新しい中間認証局証明書が必要な理由について

　CA Browser Forum（以下CABF）の発行したS/MIME用のBaseline Requirement（以下BR）に従い、2023年8月時点で、デジサートのような認証局（CA）は、パブリックで信頼されるS/MIME証明書の新たな基本要件に準拠するために、パブリックセキュアEメール（S/MIME）証明書の発行プロセスを更新することが求められました。

このBR内にS/MIME証明書を発行するために必要な 認証局に対する新たな要件が含まれており、認証局は2024年9月15日までに、新しい　S/MIME　用中間 CA証明書に移行が必要となります。

 

お客様における中間認証局証明書を切り替えの影響について

　２０２４年６月２６日以降、新規、更新、または再発行されるS/MIME証明書には新しい中間CA証明書が自動的に含まれます。この日以前にS/MIME証明書を発行されている場合でも、S/MIME証明書とともに、最新の中間CA証明書に入れ替えている場合には、本変更の影響は受けませんので引き続き有効期限までご利用可能です。

 

発行済み証明書への影響について

　新しい中間CA証明書の使用を開始しても、既存の発行済み証明書には影響いたしません。２０２４年６月２５日までに申請、発行されたS/MIME証明書は、その有効期限が切れるまで利用可能で、パブリックとして信頼されます。

　2024年6月26日より、デジサートは、新しい中間CA証明書からS/MIME証明書の新規発行、更新、再発行を行います。新しくS/MIME証明書をインストールする際には、S/MIME証明書とあわせて　デジサートが提供する中間CA証明書とともに最新のものに入れ替えていただくようお願いいたします。

ベストプラクティス

S/MIME証明書をインストールする場合には、デジサートが提供する中間CA証明書とともに最新のものに入れ替えていただくようお願いいたします。弊社では業界で求められている証明書仕様への迅速な対応を行い、お客様のセキュリティリスク低減化を推し進めるため、証明書の中間CA証明書を定期的にアップデートしています。

電子証明書ライフサイクル管理のベストプラクティスとして、証明書のインストール時には、S/MIME証明書と合わせて中間CA証明書も必ず最新のものに入れ替えていただくようご案内しております。

 

DigiCert PKI Platform 8における特記事項

　2024 年 6 月 26 日より、デジサート は、お客様の DigiCert PKI Platform 8 パブリック S/MIME 発行の、BRに準拠した新しい共有 認証局 への移行を開始いたします。以下の「新しいS/MIME用中間認証局証明書について （2024年実施）」を参照してください。

　弊社サポート窓口では、新しい中間認証局証明書が利用可能になった後にシームレスに移行を実行するツールを実行いたしますので、弊社サポートまでご連絡ください。

秘密鍵の預託にLKMS（Local Key Management System）を使用している場合

　秘密鍵の預託にLKMSを使用している場合には、新しい中間認証局証明書が利用可能になった時点にて、当該証明書をLKMSに追加してください。本作業が終わるまで預託処理は正しく終了できませんので、新中間認証局証明書から発行を開始する前までに必ず実施をしてください。

新しいS/MIMEプロファイルを作成する際の注意事項

S/MIME関連のテンプレートから新しいS/MIMEプロファイルを作成する場合は、新しい中間認証局証明書を選択／指定する必要があります。以下の「新しいS/MIME用中間認証局証明書について （2024年実施）」を参照してください。

 

DigiCertセキュアメールIDにおける特記事項（日本のみ）

　2024 年 6 月 26 日以降に新規、更新、そして再発行されるセキュアメールIDは、BRに準拠した新しい中間CA証明書での発行を開始いたします。これに伴い、ルート証明書も新しくなりますのでご注意ください。詳細については以下をご参照ください。

＜現在の階層構造＞

DigiCert Assured ID Root CA
 |
 +- DigiCert Assured ID SMIME RSA2048 SHA256 2021 CA1
      |
      +  エンドエンティティ

＜6月26日以後申請の階層構造＞

DigiCert Assured ID Root CA G2
 |
 +- DigiCert Assured G2 SMIME RSA4096 SHA384 2024 CA1

      |
      +  エンドエンティティ

また併せて「新しいS/MIME用中間認証局証明書について （2024年実施）」も参照してください。

 

DigiCert Class1証明書における特記事項（日本のみ）

　2024 年 6 月 26 日より、デジサート は、DigiCert セキュアメールIDをBRに準拠した新しい中間認証局 への移行を開始いたします。中間認証局証明書は以下をご参照ください。

＜現在の認証局階層構造、to be checked＞

DigiCert Assured ID Root CA G2
 |
 +- DigiCert Assured ID Client CA G2
      |
      +  エンドエンティティ

＜6月26日以後の発行証明書の階層構造＞

DigiCert Assured ID Root CA G2
 |
 +- DigiCert Assured G2 SMIME RSA4096 SHA384 2024 CA1

      |
      +  エンドエンティティ

また併せて「新しいS/MIME用中間認証局証明書について （2024年実施）」も参照してください。

 

中間CA証明書の切り替えに時間が必要な場合の対応について

　お客様のアカウント状況により、CertCentralアカウント内にて、切り替え前の中CA証明書を選択し、証明書発行を行うための特別対応が可能です。詳しくは弊社担当営業、またはサポートまでお問合せください。

但し、上記の特別対応が適応された場合においても、２０２４年９月３日までに新しい中間ＣＡ証明書への移行が必要です。現在ご利用の中間CA証明書はBR準拠ではなく、当該日以降はS/MIME証明書の発行に使用することができませんので、新しい中間CA証明書に移行してください。

 

影響を受けるDigiCert Secure Email (S/MIME)製品

Platform	製品／サービス、テンプレート名 （日本で販売していない製品を含む）
DigiCert CertCentral	Mailbox validated certificates: ·       Secure Email for Individual ·       Class 1 S/MIME Organization validated certificates: ·       Secure Email for Organization ·       セキュアメールID（日本のみ） Sponsor validated certificates: ·       Secure Email for Business ·       Premium ·       Email Security Plus ·       Digital Signature Plus
DigiCert PKI Platform 8	Mailbox-validated S/MIME templates: ·       S/MIME Secure Email ·       S/MIME (Digital Signature Only) ·       S/MIME (Encryption Only) Sponsor-validated S/MIME templates: ·       S/MIME Secure Email ·       S/MIME (Digital Signature Only) ·       S/MIME (Encryption Only) ·       S/MIME (Digital Signature Only) for Intune Organization-validated S/MIME templates: ·       Secure Email Gateway
DigiCert ONE – Trust Lifecycle Manager	CertCentral certificates Sponsor-validated S/MIME template: ·       Client Authentication ·       S/MIME Secure Email ·       S/MIME Secure Email using CMP Organization-validated S/MIME templates: ·       Secure Email Gateway
	DigiCert PKI Platform 8 certificates Sponsor-validated S/MIME template: ·       S/MIME Secure Email

 

 

新しいS/MIME用中間CA証明書について （2024年実施）

　デジサート 中間認証局およびルート証明書のコピーをダウンロードするには、「DigiCert Trusted Root Authority Certificates」をご覧ください。

Platform	２０２４年６月２５日まで申請の中間CA証明書	２０２４年６月２６日以降申請の中間CA証明書
DigiCert CertCentral	DigiCert Assured ID Client CA G2 DigiCert Assured ID CA G2 DigiCert Assured G2 SMIME RSA4096SHA384 2024 CA1 DigiCert Assured ID CA G3 DigiCert SHA2 Assured ID CA DigiCert Baltimore CA-1 G2 DigiCert Assured ID SMIME RSA2048 SHA256 2021CA1	DigiCert Assured G2 SMIME RSA4096 SHA384 2024 CA1
DigiCert PKI Platform 8	DigiCert PKI Platform C2 Shared SMIME Individual Subscriber CA DigiCert PKI Platform Class 3 Shared SMIME Organization CA	DigiCert Assured G2 mPKI SMIME RSA4096 SHA384 2023 CA1
DigiCert ONE – Trust Lifecycle Manager	CertCentral DigiCert Assured ID Client CA G2 DigiCert Assured ID SMIME RSA2048 SHA256 2021 CA1 DigiCert QuoVadis G3 SMIME RSA4096 SHA384 2023 CA1 DigiCert Assured G2 EUR SMIME RSA4096 SHA384 2023 CA1 DigiCert Assured ID G2 SMIME Europe RSA4096 SHA256 2023 CA2	DigiCert Assured G2 SMIME RSA4096 SHA384 2024 CA1
	DigiCert PKI Platform 8 DigiCert PKI Platform C2 Shared SMIME Individual Subscriber CA	DigiCert Assured G2 mPKI SMIME RSA4096 SHA384 2023 CA1

 

*注：新しいBRに準拠した中間CA証明書は、拡張キー(EKUs)においてはemaillProtection、 そして clientAuthenticationのみが存在する必要があります。Apple社のポリシーにより、S/MIME 中間CA証明書は上記の拡張キー以外を含むことはできません。

またこれらの中間CA証明書ポリシーの値をanyPolicyとして設定しております。