Q: 中間CA証明書やその公開鍵がピニング(固定登録)しています。適用日までに何をすればよいでしょうか?
A: 適 用日前までに、お客様の環境にてG2中間CA証明書を適用できるように変更いただきますようお願いいたします。
なお、弊社では証明書のライフサイクル管理手順において中間CA証明書を固定登録すること、またはハードコーディングすることは非推奨とさせていただいております。
[ブログ] 証明書のピニングはやめましょう
https://www.digicert.com/jp/blog/certificate-pinning-what-is-certificate-pinning
Q: 中間CA証明書をピニングしており、適用日前までに変更することができません。特別措置はありますか?
A: 弊社ではお客様の期間における緊急措置として、適用日以降においても、変更前の中間CA証明書から発行する従来階層の証明書を取得いただけるよう対応が可能です。当緊急措置が必要な場合は営業担当、またはテクニカルサポートまでお問合せください。
ただし、Mozillaは、現在利用しているルート証明書を2025年以降順次「信頼しない認証局」としてみなす変更を適用する予定です。これらブラウザ側の変更により、Firefox等Mozillaルートストアを参照するクライアント端末とのTLS接続はエラーとなるリスクがあることを何卒ご理解の上、順次新中間CA証明書、およびルート証明書へ移行いただきますようお願いいたします。
Q: 新階層のルート証明書(Ph1. G2ルート)階層の証明書を適用日前に、発行してウェブサーバにインストール等検証することはできますか?
A: はい、可能です。 申請時に 「追加証明書オプション」から中間チェーン [ xxxx > DigiCert Global CA G2 (SHA2-256) ] を選択して申請を完了してください。 表示されない場合は、弊社までお問合せください。 なお、再発行申請により、同様の手順で同G2ルート階層を選択して発行することも可能です。
Q: 新階層のルート証明書(Ph1. G2ルート) を適用日前に、クライアントから接続テストできますか?
A: はい、可能です。 弊社ルート証明書の接続用として、テストサイトを設けております。クライアント端末からの接続用としてご活用ください。
DigiCert Global Root CA (従来ルート)
https://global-root-ca.chain-demos.digicert.com/
DigiCert Global Root G2 (Ph.1用ルート)
https://global-root-g2.chain-demos.digicert.com/
Q: 新階層のルート証明書では価格や製品仕様に差異はありますか?
A: いいえ、証明書の価格や、製品に付帯するサービスには差異はございません。違いは、証明書の階層構造、および証明書に利用されているアルゴリズムとなります。
Q: Mozillaのルートプログラムにおける変更内容を教えてください。いつごろに使えなくなりますか?
A: 下記のサイトに背景、および2022年12月時点で公開されている日程をご案内しております。ご参照ください。
2023年 DigiCert ルートおよび中間CA証明書の更新に関するご案内
https://knowledge.digicert.com/ja/jp/generalinformation/INFO2525.html
Q: クライアント環境に、(Ph.2) G5ルートが搭載されていない場合はどうすればよいですか?
A: End-Entity証明書、中間CA証明書とあわせてクロスルート証明書を必ずインストールください。
クロスルート証明書をインストールすることで従来(G1)と同等の接続が可能となります。
※ Windows、Chrome、360、およびFirefoxの最新バージョンには、すでに新しいG5ルートが含まれており一般的なブラウザでアクセスする際には、問題なく通信が可能です。 ただし、G5ルート証明書が搭載されていない機器等の端末とTLS通信を想定している場合は、ルート証明書未対応により通信エラーとなる場合がございます。
Q: オプション階層(G5ルート階層)の選び方を教えてください。
A: 適用日以降、証明書申請画面に、階層を選択するオプションが表示されます。申請時に、申請毎に選択してください。なお、再発行する際に選択することもできます。
Q: 次世代 G5ルートのブラウザの普及率はどの程度ですか?
A: 最新バージョンには、すでに新しいG5ルートが含まれており一般的なブラウザでアクセスする際には、問題なく通信が可能です。 しかしながら、スマートフォン端末等の普及がまだ十分ではありません。事前にクライアントの対応状況を確認の上、未対応の場合はクロスルート証明書をご利用ください。
Q: 新階層のルート証明書(Ph2. G5ルート) 階層の証明書を適用日前に、発行してウェブサーバにインストール等検証することはできますか?
A: いいえ、できません。
申し訳ございませんが、新G5階層につきましては適用日以降に証明書を申請、発行いただきますようお願いいたします。
Q: 新階層のルート証明書(Ph2. G5ルート) を事前にクライアントから接続テストできますか?
A: はい、可能です。 弊社ルート証明書の接続用として、テストサイトを設けております。クライアント端末からの接続用としてご活用ください。
DigiCert RSA4096 Root G5 (Ph.2用ルート)
https://digicert-tls-rsa4096-root-g5.chain-demos.digicert.com
DigiCert ECC P384 Root G5 (Ph.2用ECCルート)
https://digicert-tls-ecc-p384-root-g5.chain-demos.digicert.com
Q: G5ルートを選択した際に設定するクロスルートの設定方法について教えてください。
A: クロスルートの設定方法については、下記のサイトにて詳しくご紹介しております。
DigiCert G5 クロスルート 証明書 インストール手順
https://knowledge.digicert.com/ja/jp/solution/SOT0051.html
Q: 適用日以降も従来ルート証明書を利用する方法はありますか?
A: はい、ご提供可能です。
Q: クライアントとしてMozillaを利用していません。それ以外のブラウザでは影響を受けないのであれば、継続して従来ルートを使うことはできますか?
A: 現時点でGoogleも同変更に同意する意向を表明しています。適用日時や条件等はまだ公開されていませんが、今後他ブラウザベンダーも追従してくる可能性があります。ブラウザベンダの変更案があるリスクを十分にご理解いただいた上で、従来ルート階層の利用を継続いただくことは可能です。
*設定が必要となりますので、弊社営業担当までアカウント番号、利用環境等詳細を添えて個別設定依頼をお問合せください。