Google Chrome と Mozilla では、新規発行された Entrust 証明書が無効化

Google Chrome と Mozilla では、新規発行された Entrust 証明書が無効化されます。

2024年10月15日 GeoTrust

　Entrust ルートから発行されたパブリック TLS/SSL 証明書は、SCT（Signed Certificate Timestamp）の日付が 2024 年 11 月 12 日以降の場合は Google Chrome によって、また SCT の日付が 2024 年 12 月 1 日以降の場合は Mozilla によって、それぞれ信頼されなくなります。

１. 経緯
    1-1 ブラウザで信頼されるには、パブリック認証局が CA/B フォーラムによって定義されている特定の要件に準拠しなければなりません。
    1-2 信頼に一貫性と継続性があることを保証するために、ブラウザのルートプログラムは認証局（CA）のオペレーションとコンプライアンスに関する監査レポートを定期的に受け取ります。
    1-3 透明性と説明責任は信頼にとって非常に重要です。CA は、誠実にブラウザのルートプログラムと連携して、問題を修正し防止するよう求められます。
    1-4 先日、Entrust の TLS 証明書発行業務で信頼性が欠如していることが、ブラウザのルートプログラムによって明らかになりました。
    1-5 Google は最終的に、Chrome ブラウザ上で Entrust ルートにおける新規の証明書発行に対する信頼を取り消すことを決定しました。その後、Mozilla Firefox も同様の対応をとっています。

２. Google が Entrust 証明書を無効化した理由

３. Entrust ユーザーへの影響
    3-1 Google Chrome は、2024 年 11 月 12 日以降、Entrust ルートによって発行された SCT 付きのパブリック TLS 証明書を信頼しなくなります。
    3-2 Mozilla Firefox は、2024 年 12 月 1 日以降、最も早い SCT の付いた Entrust ルート発行のパブリック TLS 証明書を信頼しなくなります。
    3-3 こうした影響を受ける Entrust 証明書の発行を利用しているサーバーでは、Google と Mozilla によって保護されていないサイトと表示されます。
    3-4 Google Chrome と Mozilla Firefox が信頼を停止する日付より前の日付の SCT が付いた TLS 証明書は、今回の信頼停止の影響を受けません。

４. 対象となるサーバ証明書

　除外されるのは、最も古いSCTの日付が2024年10月31日以降の、次のEntrustおよびAffirmTrustのサーバ証明書。最も古いSCTの日付が2024年10月31日以前のものは影響を受けない。

    CN=Entrust Root Certification Authority - EC1,OU=See www.entrust.net/legal-terms+OU=(c) 2012 Entrust, Inc. - for authorized use only,O=Entrust, Inc.,C=US`
    CN=Entrust Root Certification Authority - G2,OU=See www.entrust.net/legal-terms+OU=(c) 2009 Entrust, Inc. - for authorized use only,O=Entrust, Inc.,C=US
    CN=Entrust.net Certification Authority (2048),OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.)+OU=(c) 1999 Entrust.net Limited,O=Entrust.net
    CN=Entrust Root Certification Authority,OU=www.entrust.net/CPS is incorporated by reference+OU=(c) 2006 Entrust, Inc.,O=Entrust, Inc.,C=US
    CN=Entrust Root Certification Authority - G4,OU=See www.entrust.net/legal-terms+OU=(c) 2015 Entrust, Inc. - for authorized use only,O=Entrust, Inc.,C=US
    CN=AffirmTrust Commercial,O=AffirmTrust,C=US
    CN=AffirmTrust Networking,O=AffirmTrust,C=US
    CN=AffirmTrust Premium,O=AffirmTrust,C=US
    CN=AffirmTrust Premium ECC,O=AffirmTrust,C=US

５. 今後の対策

   Entrustの信頼喪失は、ウェブサイト運営者にとって重大な問題です。コンプライアンス違反により、Google Chromeなどの主要ブラウザで信頼されなくなるため、速やかに対策を講じる必要があります。

    1, 証明書の再発行: 信頼できる認証機関から新しい証明書を発行。
    2. SSL/TLS証明書の更新: 新しい証明書をインストールし、適切に設定。
    3. セキュリティポリシーの見直し: 証明書管理のプロセスを強化し、コンプライアンスを維持。
    4. 利用者への通知: 透明性を保ち、利用者の信頼を維持。

   これらの対策を実施することで、ウェブサイトのセキュリティと信頼性を維持し、ユーザーエクスペリエンスを向上させることができます。

６. 乗り換えプログラム

   EntrustおよびAffirmTrustのサーバ証明書に対して、ジオトラスト社サーバー証明書への乗り換えプログラムを提供します。

   EntrustおよびAffirmTrustのサーバ証明書の残り期間に応じて、サーバー証明書の期間が延長されます。（最大30日）　これにより、現行 のサーバー証明書の期限を待たずに、ジオトラスト社サーバー証明書の発行・インストールが可能です。（詳細はこちら）

   6-1. 対象のジオトラスト社サーバー証明書
　　・ジオトラスト トゥルービジネスID with EV
　　・ジオトラスト トゥルービジネスID
　　・ジオトラスト トゥルービジネスID ワイルドカード
　　・ジオトラスト トゥルービジネスID マルチドメイン
　　・ジオトラスト クイック SSL プレミアム
 

7. FAQ

Q. Entrust 証明書が Google Chrome によって無効化されるのはいつからですか?
A. Entrust のルート認証局から発行されたパブリック TLS 証明書で、SCT（Signed Certificate Timestamp）が 2024 年 11 月 12 日以降のものは、同日以降 Google Chrome によって信頼されなくなります。
SCT の日付が 2024 年 11 月 11 日以前の TLS 証明書であれば、期間内は有効です。

Q. 既存の Entrust 証明書はいつ移行すべきですか?

A. 有効期限が切れる証明書の正確な在庫状況を把握し、関連するサービスのリスクプロファイルを評価して、移行プロセスを計画できるように、移行戦略の計画はできるだけ速やかに開始することをお勧めします。

Q. 自社の環境で Entrust 証明書を使用しているかどうかは、どうすれば確認できますか?

A. お客様のインフラストラクチャに接続して、お客様の環境で証明書をスキャンし、検出する各種のツールがあります。

Q. 新しい証明書の取得にはどのくらい時間がかかりますか?

A. 新しい証明書は速やかに取得できますが、弊社との連絡には迅速なご対応が必要になります。お客様のドメインの検証に何秒かかかり、次に組織の検証には数分かかります。新しい証明書の取得プロセス全体はごく短時間で完了します。
    こうした最初の組織検証が完了したのちは、業界のガイドラインに沿ってその検証が失効するまで、同じ手順を繰り返す必要はありません。つまり、以降の証明書リクエストはさらに速やかに処理されるということです。

Q. ジオトラスト社に同じような無効化の問題が起きないと保証できますか?

A. ジオトラスト社と その認証局事業には 3 つの特長があります。第一に、弊社は厳格に準拠する明確なプロセスを定めており、問題の軽減に役立つよう開発した PKILint などのツールを使用しています。第二に、CA/B フォーラムと緊密に連携して、迅速かつ透明性をもって問題に対応しています。問題が発生した場合、速やかに解決に努めます。そして最後に、当社は標準化団 体に積極的に参加しています。基準に準拠するのみならず、業界の利益のために基準を進化させることもお手伝いしています。

GeoTrustとは

SSL証明書、暗号化技術と第 三者認証サービスにおける、全世界シェア第二位のリーディングブランドです。