(続報)SSL証明書のルート証明書、および中間CA証明書変更に関するご案内
2022年11月28日
GeoTrust
2022年9月16日にご案内いたしました「SSL証明書のルート証明書、および中間CA証明書変更に関するご案内」に関しまして、弊社の次世代ルート証明書(以下、第5世代 “G5ルート”)への移行計画について一部変更してご案内申し上げます。
Mozilla社ではルート証明書に対する要件について見直しが行われ、これをうけて弊社ルート証明書の移行を段階的に
実施させていただくことといたしました。詳細は下記をご参照ください。
ウェブサイトを管理いただくお客様におきましては、適用日以降に発行される証明書には、新しい中間CA証明書をご利用いただきますよう何卒ご留意のうえ、ご対応いただきますようお願い申し上げます。
当変更に関する背景、概要、および今後の予定につきましては以下をご確認ください。
なお、現在ご利用の発行済み証明書、適用日前に発行される証明書は、その有効期限まで継続してご利用いただけます。
1. (再掲)適用日時
2023年3月9日(木) 午前2:00 より
2. (再掲)対象製品
・ジオトラスト トゥルービジネスID with EV
ジオトラスト トゥルービジネスID
ジオトラスト トゥルービジネスID ワイルドカード
ジオトラスト トゥルービジネスID マルチドメイン
ジオトラスト クイック SSL プレミアム
ラピッドSSL
ラピッドSSL ワイルドカード
3. (更新)変更内容
3-1 (更新)中間CA証明書の変更について
上記適用日以降に、新規、更新、再発行申請により発行される証明書は、新しい中間CA証明書から発行されます。
適用日以降に発行されたサーバ証明書をお客様のウェブサーバにインストールいただく際には、変更後の新しい中間CA証明書を併せてインストールいただく必要があります。
各製品における新しい中間CA証明書の詳細は、下記のサイトをご参照ください。
ルート証明書/中間CA証明書の階層構造について
https://knowledge.digicert.com/ja/jp/solution/SOT0006.html
なお、すでに発行済みの証明書、または適用日以前に発行される証明書は、その有効期限をむかえるまで、引き続きご利用いただけます。証明書を入れ替えていただく必要はございません。
3-2 (更新)ルート証明書の変更について
3-2-1. ルート証明書(標準)
上記適用日以降に、新規、更新、再発行申請により発行される証明書は、SHA-2署名ハッシュアルゴリズムに対応するルート証明書(以下、G2ルート)です。
ルート証明書は、通常クライアント側に登録されており、G2ルートは従来の
ルート証明書同様幅広いクライアントに対応しています。
・現在利用されているルート証明書(G1ルート) :
・Baltimore CyberTrust Root
・DigiCert Global Root CA
・DigiCert High Assurance EV Root CA
・適用日以降に利用するルート証明書(G2ルート、標準):
・DigiCert Global Root G2
クライアントの対応状況につきましては、下記のサイトをご参照ください。
SSL/TLSサーバ証明書のクライアント対応状況
https://knowledge.digicert.com/ja/jp/generalinformation/INFO2522.html
3-2-2. 次世代ルート証明書について (オプション)
弊社では中長期的に次世代ルートG5への移行を計画しており、適用日以降、次世代のG5ルート証明書階層の証明書をオプションの証明書階層としてご提供
いたします。申請時に、証明書階層をご選択いただくことで、オプション階層の証明書をご取得いただくことができます。当オプション階層を選択いただく場合
は、
各ルート証明書に署名検証する中間CA証明書をインストールください。
適用日以降にオプション階層として提供するルート証明書(G5ルート):
・DigiCert TLS RSA4096 Root G5
・DigiCert TLS ECC P384 Root G5
なお、G5ルート証明書は、最新ブラウザにはすでに搭載されTLS接続が可能です。
一方、スマートフォン、レガシー機器等の端末とのTLS通信を想定している場合は、ルート証明書未対応により通信エラーとなる場合がございます。この場合
は、中間CA証明書に合わせて専用のクロスルート証明書を設定いただくことで、従来と同等の対応率を維持することができます。
各製品におけるオプション階層については、下記のサイトをご参照ください。
ルート証明書/中間CA証明書の階層構造について
https://knowledge.digicert.com/ja/jp/solution/SOT0006.html
SSL証明書の仕組み 概要
https://www.digicert.com/jp/what-is-an-ssl-certificate
SSL/TLSサーバ証明書のルート証明書、および中間CA証明書変更に関するFAQ
https://knowledge.digicert.com/ja/jp/generalinformation/INFO2523.html
4. FAQ
Q. なぜGeoTrustは、新しいルート証明書と中間CA証明書の運用開始をするのでしょうか?
A.
業界では現在、認証局(CA)に対し、多目的(1注意)ルートおよび中間CA証明書のチェーン形態から、単一目的用途の証明書チェーンへの証明書発行範囲
を縮小させることを求められています。この変更は、ルート証明書、中間CA証明書、エンドエンティティ証明書に関する業界およびCA/Browser
Forumガイドラインの変更による影響を緩和させるものです。詳細については、MozillaのCA/優先順位付けを参照してください。
Q. ルート証明書と中間CA証明書の運用開始は、既存の証明書にどのような影響を与えますか?
A. 新しいルート証明書と中間CA証明書の運用の開始後も、既存の証明書に影響を与えることはありません。上記期日以前に発行されたすべての証明書の有効期限が切れるまで、古い中間CA証明書とルート証明書が証明書ストアから削除されることはありません。
ただし、2023年3月8日以降に新規、更新、そして再発行申請される場合は、既存の証明書に影響を及ぼすことが予測されます。GeoTrustは、新しいG5ルート証明書および中間CA証明書階層から新規、再発行、そして複製申請された証明書の発行を行います。
2023年3月8日以降に新規、更新、そして再発行または複製申請された証明書をインストールする場合には、GeoTrustが新しく提供する最新の中間CA証明書およびクロスルート証明書をご利用いただきますようお願い致します。
Q. クライアント環境に、G5ルートが搭載されていない場合はどうすればよいですか?
A.
Windows、Chrome、360、およびFirefoxの最新バージョンには、すでに新しいG5ルートが含まれており一般的なブラウザでアクセスす
る際には、問題なく通信が可能です。
ただし、G5ルート証明書が搭載されていないレガシー機器等の端末とTLS通信を想定している場合は、ルート証明書未対応により通信エラーとなる場合がご
ざいます。
弊社では、各ベンダーにG5ルート証明書の配布および搭載を依頼するとともに、従来ルート証明書との接続を可能とするクロスルート証明書の提供の準備をしております。
適用日以降に、レガシー機器端末との接続を継続する場合は、End-Entity証明書、中間CA証明書とあわせてクロスルート証明書を必ずインストールいただくことで、従来と同等の接続が可能となります。
Q. クロスルート証明書はどのように取得できますか?
A. クロスルート証明書のご案内、およびご取得方法につきましては、今後追加のお知らせにてご案内いたします。
GeoTrustとは
SSL証明書、暗号化技術と第
三者認証サービスにおける、全世界シェア第二位のリーディングブランドです。
|