2023年3月9日(木)2:00 (日本時間)に、DigiCertでは、パブリック TLS/SSLサーバ証明書を第二世代ルート(G2)、そしてG2ルートにチェーンする中間CA証明書階層に変更いたします。
重要: 新しい情報が入り次第、この記事を更新します。 |
2025年から、Mozilla は古い DigiCert ルート証明書を信頼しなくなります。下表で指定された日付以降、Mozilla は既存の有効なエンドエンティティ証明書も信頼しなくなります。当変更は、まずTLS/SSL 証明書に適用され、その後S/MIME証明書にも適用されます。
DigiCertでは、ルート証明書(第2世代、以下G2ルート)に階層移行し、既存の証明書をより長くご利用いただけるようにいたします。 また、第1世代(以下、G1ルート)階層から発行された有効な証明書は、その有効期限まで信頼される証明書として継続してご利用いただけます。
Mozillaのルート証明書に対する変更および日程
世代 | ルート証明書 | *Mozilla TLSに対する適用日 | *Mozilla S/MIMEに対する適用日 |
G1 | Baltimore CyberTrust Root | 2025年4月15日 *BaltimoreCyberTrust Root証明書の有効期限:2025年5月12日 |
BaltimoreCyberTrust Root証明書の有効期限限:2025年5月12日 |
G1 | DigiCert Assured ID Root CA | 2026年4月15日 | 2029年4月15日 |
G1 | DigiCert Global Root CA | 2026年4月15日 | 2029年4月15日 |
G1 | DigiCert High Assurance EV Root CA | 2026年4月15日 | 2029年4月15日 |
G2 | DigiCert Global Root G2 | 2029年4月15日 | 2032年4月15日 |
G5 | DigiCert TLS RSA4096 Root G5 | 2036年1月15日 | このルート証明書からS/MIME 証明書の発行はしません。 |
*当変更は、TLS/SSL 証明書に適用され、その後S/MIME証明書にも適用されます。
影響を受けるDigiCertブランド
ブランド | 証明書タイプ | 製品 |
デジサート | OV |
|
デジサート | EV |
|
ジオトラスト | DV |
|
ジオトラスト | OV |
|
ジオトラスト | EV |
|
Rapid SSL | DV |
|
Thawte | DV |
|
Thawte | OV |
|
Thawte | EV |
|
Encryption Everywhere | DV |
|
2023年3月8日、ICA/ルート変更
証明書ブランド | 中間CA証明書 (G1) 変更前 | ルート証明書 (G1) 変更前 | 中間CA証明書 (G2) 変更後 | ルート証明書 (G2) 変更後 |
デジサート | DigiCert TLS RSA SHA256 2020 CA1 | DigiCert Global Root CA | DigiCert Global G2 TLS RSA SHA256 2020 CA1 | DigiCert Global Root G2 |
デジサート | DigiCert SHA2 Extended Validation Server CA | DigiCert High Assurance EV Root CA | DigiCert EV RSA CA G2 | DigiCert Global Root G2 |
Thawte | Thawte RSA CA 2018 | DigiCert Global Root CA | Thawte TLS RSA CA G1 | DigiCert Global Root G2 |
Thawte | Thawte EV RSA CA G2 | DigiCert High Assurance EV Root CA | Thawte EV RSA CA G2 | DigiCert Global Root G2 |
ジオトラスト | GeoTrust RSA CA 2018 | DigiCert Global Root CA | GeoTrust TLS RSA CA G1 | DigiCert Global Root G2 |
ジオトラスト | GeoTrust EV RSA CA 2018 | DigiCert High Assurance EV Root CA | GeoTrust EV RSA CA G2 | DigiCert Global Root G2 |
ジオトラスト | GeoTrust Global TLS RSA4096 SHA256 2022 CA1 |
DigiCert Global Root CA | GeoTrust TLS RSA CA G1 | DigiCert Global Root G2 |
RapidSSL | RapidSSL Global TLS RSA4096 SHA256 2022 CA1 | DigiCert Global Root CA | RapidSSL TLS RSA CA G1 | DigiCert Global Root G2 |
Encryption Everywhere | Encryption Everywhere DV TLS CA - G1 | DigiCert Global Root CA | Encryption Everywhere DV TLS CA - G2 | DigiCert Global Root G2 |
ルート証明書
ルート証明書は、パブリック証明書を信頼するための鍵となる証明書です。認証局(CA)は、オペレーティングシステム、ブラウザ、およびその他のアプリケーションと連携して、ルート証明書がトラストストアに含まれるようにすることで、パブリック証明書が信頼されるようにします。
認証局は、ルート証明書を利用して中間CA証明書を発行します。ルート証明書をパブリックTLS証明書を発行するために使うことはありません。
中間CA証明書
認証局は、中間CA証明書を使用して、TLSやその他のデジタル証明書を発行します。また、中間CA証明書は、TLS証明書をトラストストアにあるルート証明書に署名検証し、ブラウザや他のアプリケーションがエンドエンティティ証明書を信頼できるようにします。
証明書チェーンとその仕組みについて詳しくは、「証明書チェーンの仕組み」をご覧ください。
TLS証明書をインストールする際に、DigiCertが提供する中間CA証明書を随時インストールいただければ問題ありません。異なる証明書階層に切り替える際に、特に追加で必要となる作業はございません。
G2ルート証明書への階層に変更するにあたり、下記いずれかの実装を行っていない限り、特別な対応は不要です。
上記のいずれかを行っている場合は、2023年3月8日までにご利用の環境を更新いただくことを推奨いたします。ルート証明書や中間CA証明書の受け入れのピニング(固定登録) やハードコーディングをやめるか、G2ルート証明書階層から発行された証明書が信頼できる(言い換えれば、信頼できるG2ルート証明書に署名検証できる)ように必要な変更を加えてください。
DigiCertは、最終的にG2ルートおよび中間CA証明書階層を、新しい単一目的のG5ルートおよび中間CA証明書階層に置き換える予定です。
TLS/SSL証明書を発行するために、DigiCertの新しい単一目的のG5ルートおよび中間CA証明書階層に直接移行することをお勧めします。そうすることで、G5 中間CA証明書から証明書を発行することができるようになります。G5ルートは、旧ルートのようなクライアントの対応がないため、証明書が信頼されるように、証明書チェーンに4つ目の証明書であるクロスルートを追加する必要があります。
詳細については、DigiCert G5 ルートおよび中間 CA 証明書の更新に関するナレッジベース記事をご覧ください。
G2ルート証明書および中間CA証明書への切り替えは、既存の証明書に影響を与えません。DigiCertは、G2ルート証明書階層への移行のタイミングを調整し、既存の証明書がMozillaルートストアプログラムの変更の影響を受けないようにしました。G1ルート階層から発行された有効なTLS/SSL証明書は、有効期限が切れるまで問題なくご利用いただけます。
ただし、2023年3月8日以降に新規発行、更新、再発行、複製された証明書は、G2ルート階層にチェーンされます。証明書をインストールする際、DigiCertが提供する最新の中間CA証明書をご利用いただきますようお願い致します。
ベストプラクティス: DigiCert提供の中間CA証明書をインストールする。
証明書をインストールする際、DigiCertが提供する最新の中間CA証明書をご利用いただきますようお願い致します。DigiCertは、新しいルート証明書階層から発行された証明書が信頼されるよう、常にこのベストプラクティスを推奨しています。
準備に時間が必要な場合は、DigiCertサポートにご連絡ください。現在ご利用中のG1ルート証明書と中間CA証明書を引き続きご利用いただけるよう、アカウントを設定させていただきます。
Mozillaが発表しているルート証明書の無効化予定日以降は、そのルートにチェーンする中間CA証明書、ならびにエンドエンティティ証明書も信頼されなくなりますのでご注意ください。ご利用中の証明書への影響を最小限に抑えるためにも、無効化予定日前に必ずG2、もしくは新しいルート証明書にチェーンする中間CA証明書をもつエンドエンティティ証明書に入れ替えをお願いいたします。
※本ページは米国ページを元に作成されています。