DigiCert KnowledgeBase - Technical Support-hero

Knowledge Base

2023年 DigiCert ルートおよび中間CA証明書の更新に関するご案内

ソリューション番号: GN151122215439
最終更新日: 2024/09/12


2023年3月9日(木)2:00 (日本時間)
に、DigiCertでは、パブリック TLS/SSLサーバ証明書を第二世代ルート(G2)、そしてG2ルートにチェーンする中間CA証明書階層に変更いたします。

重要: 新しい情報が入り次第、この記事を更新します。

マルチドメイン、ワイルドカード、複数年プランに対応しているSSL/TLSサーバ証明書。自動更新、ユーザ管理、レポートなど、高機能かつ直観的に利用できる管理コンソールCertCentralで更新負担を下げます。

 

なぜDigiCertは、G2ルートおよび中間CA証明書階層からパブリックTLS/SSL証明書の発行を開始するのですか?

 

2025年から、Mozilla は古い DigiCert ルート証明書を信頼しなくなります。下表で指定された日付以降、Mozilla は既存の有効なエンドエンティティ証明書も信頼しなくなります。当変更は、まずTLS/SSL 証明書に適用され、その後S/MIME証明書にも適用されます。

DigiCertでは、ルート証明書(第2世代、以下G2ルート)に階層移行し、既存の証明書をより長くご利用いただけるようにいたします。 また、第1世代(以下、G1ルート)階層から発行された有効な証明書は、その有効期限まで信頼される証明書として継続してご利用いただけます。

 

Mozillaのルート証明書に対する変更および日程

世代  ルート証明書 *Mozilla TLSに対する適用日 *Mozilla S/MIMEに対する適用日
G1          Baltimore CyberTrust Root 2025年4月15日
*BaltimoreCyberTrust Root証明書の有効期限:2025年5月12日

BaltimoreCyberTrust Root証明書の有効期限限:2025年5月12日
G1 DigiCert Assured ID Root CA 2026年4月15日 2029年4月15日
G1 DigiCert Global Root CA 2026年4月15日 2029年4月15日
G1 DigiCert High Assurance EV Root  CA 2026年4月15日 2029年4月15日
G2 DigiCert Global Root G2 2029年4月15日 2032年4月15日
G5 DigiCert TLS RSA4096 Root G5 2036年1月15日

このルート証明書からS/MIME 証明書の発行はしません。


*当変更は、TLS/SSL 証明書に適用され、その後S/MIME証明書にも適用されます。

 


影響を受けるDigiCertブランド

ブランド 証明書タイプ 製品
デジサート OV
  • スタンダード・サーバID
  • セキュア・サーバID
  • グローバル・サーバID
デジサート EV
  • スタンダード・サーバID EV
  • セキュア・サーバID EV
  • グローバル・サーバID EV
ジオトラスト DV
  • ジオトラスト クイックSSLプレミアム
ジオトラスト OV
  • ジオトラスト トゥルービジネスID
ジオトラスト EV
  • ジオトラスト トゥルービジネスID EV
Rapid SSL DV
  • RapidSSL Standard DV
  • RapidSSL Wildcard DV
Thawte DV
  • Thawte SSL 123 DV
Thawte OV
  • Thawte SSL Webserver OV
Thawte EV
  • Thawte SSL Webserver EV
Encryption Everywhere DV
  • Encryption Everywhere DV

 

 

2023年3月8日、ICA/ルート変更

証明書ブランド 中間CA証明書 (G1) 変更前 ルート証明書 (G1) 変更前 中間CA証明書 (G2) 変更後 ルート証明書 (G2) 変更後
デジサート DigiCert TLS RSA SHA256 2020 CA1 DigiCert Global Root CA DigiCert Global G2 TLS RSA SHA256 2020 CA1 DigiCert Global Root G2
デジサート DigiCert SHA2 Extended Validation Server CA DigiCert High Assurance EV Root CA DigiCert EV RSA CA G2 DigiCert Global Root G2
Thawte Thawte RSA CA 2018 DigiCert Global Root CA Thawte TLS RSA CA G1 DigiCert Global Root G2
Thawte Thawte EV RSA CA G2 DigiCert High Assurance EV Root CA Thawte EV RSA CA G2 DigiCert Global Root G2
ジオトラスト GeoTrust RSA CA 2018 DigiCert Global Root CA GeoTrust TLS RSA CA G1 DigiCert Global Root G2
ジオトラスト GeoTrust EV RSA CA 2018 DigiCert High Assurance EV Root CA GeoTrust EV RSA CA G2 DigiCert Global Root G2
ジオトラスト GeoTrust Global TLS RSA4096
SHA256 2022 CA1
DigiCert Global Root CA GeoTrust TLS RSA CA G1 DigiCert Global Root G2
RapidSSL RapidSSL Global TLS RSA4096 SHA256 2022 CA1 DigiCert Global Root CA RapidSSL TLS RSA CA G1 DigiCert Global Root G2
Encryption Everywhere Encryption Everywhere DV TLS CA - G1 DigiCert Global Root CA Encryption Everywhere DV TLS CA - G2 DigiCert Global Root G2

 

ルート証明書と中間CA証明書は何に使うのですか?


ルート証明書

 

ルート証明書は、パブリック証明書を信頼するための鍵となる証明書です。認証局(CA)は、オペレーティングシステム、ブラウザ、およびその他のアプリケーションと連携して、ルート証明書がトラストストアに含まれるようにすることで、パブリック証明書が信頼されるようにします。

認証局は、ルート証明書を利用して中間CA証明書を発行します。ルート証明書をパブリックTLS証明書を発行するために使うことはありません。

 

中間CA証明書

認証局は、中間CA証明書を使用して、TLSやその他のデジタル証明書を発行します。また、中間CA証明書は、TLS証明書をトラストストアにあるルート証明書に署名検証し、ブラウザや他のアプリケーションがエンドエンティティ証明書を信頼できるようにします。

証明書チェーンとその仕組みについて詳しくは、「証明書チェーンの仕組み」をご覧ください。

 

 

ルート証明書と中間CA証明書を切り替えると、どのような影響があるのでしょうか?

 

TLS証明書をインストールする際に、DigiCertが提供する中間CA証明書を随時インストールいただければ問題ありません。異なる証明書階層に切り替える際に、特に追加で必要となる作業はございません。

G2ルート証明書への階層に変更するにあたり、下記いずれかの実装を行っていない限り、特別な対応は不要です。

  • 中間CA証明書/ルート証明書をピニング(固定登録) する
  • 中間CA証明書/ルート証明書をハードコードする
  • 独自のトラストストアを提供している

上記のいずれかを行っている場合は、2023年3月8日までにご利用の環境を更新いただくことを推奨いたします。ルート証明書や中間CA証明書の受け入れのピニング(固定登録) やハードコーディングをやめるか、G2ルート証明書階層から発行された証明書が信頼できる(言い換えれば、信頼できるG2ルート証明書に署名検証できる)ように必要な変更を加えてください。

 

 

ピニングや証明書のハードコーディングをやめたくない場合はどうすればよいですか?

 

DigiCertは、最終的にG2ルートおよび中間CA証明書階層を、新しい単一目的のG5ルートおよび中間CA証明書階層に置き換える予定です。

TLS/SSL証明書を発行するために、DigiCertの新しい単一目的のG5ルートおよび中間CA証明書階層に直接移行することをお勧めします。そうすることで、G5 中間CA証明書から証明書を発行することができるようになります。G5ルートは、旧ルートのようなクライアントの対応がないため、証明書が信頼されるように、証明書チェーンに4つ目の証明書であるクロスルートを追加する必要があります。

詳細については、DigiCert G5 ルートおよび中間 CA 証明書の更新に関するナレッジベース記事をご覧ください。

 

 

ルート証明書と中間CA証明書の切り替えは、既存の証明書にどのような影響を与えますか?

 

G2ルート証明書および中間CA証明書への切り替えは、既存の証明書に影響を与えません。DigiCertは、G2ルート証明書階層への移行のタイミングを調整し、既存の証明書がMozillaルートストアプログラムの変更の影響を受けないようにしました。G1ルート階層から発行された有効なTLS/SSL証明書は、有効期限が切れるまで問題なくご利用いただけます。

ただし、2023年3月8日以降に新規発行、更新、再発行、複製された証明書は、G2ルート階層にチェーンされます。証明書をインストールする際、DigiCertが提供する最新の中間CA証明書をご利用いただきますようお願い致します。

ベストプラクティス: DigiCert提供の中間CA証明書をインストールする。

証明書をインストールする際、DigiCertが提供する最新の中間CA証明書をご利用いただきますようお願い致します。DigiCertは、新しいルート証明書階層から発行された証明書が信頼されるよう、常にこのベストプラクティスを推奨しています。

 

 

環境の更新に時間が必要な場合はどうすればよいですか?

 

準備に時間が必要な場合は、DigiCertサポートにご連絡ください。現在ご利用中のG1ルート証明書と中間CA証明書を引き続きご利用いただけるよう、アカウントを設定させていただきます。

Mozillaが発表しているルート証明書の無効化予定日以降は、そのルートにチェーンする中間CA証明書、ならびにエンドエンティティ証明書も信頼されなくなりますのでご注意ください。ご利用中の証明書への影響を最小限に抑えるためにも、無効化予定日前に必ずG2、もしくは新しいルート証明書にチェーンする中間CA証明書をもつエンドエンティティ証明書に入れ替えをお願いいたします。


※本ページは米国ページを元に作成されています。