シマンテックSSL証明書におけるクロスルート証明書についてのご注意
お客さま各位
平素はValueSSLをご利用頂き誠にありがとうございます。
シマンテック社ルート証明書: Class 3 Public Primary Certification Authority(略称 G1ルート証明書)の利用終了に伴いまして、クロスルート設定用証明書につきましてシマンテック社より以下の注意案内がございました。
対象製品:
上記の対象製品をご利用でない場合は、以下の注意事項をお読み頂く必要はありません。
上記の対象製品をご利用であっても、クロスルート設定用証明書をインストールしていない場合は、以下の注意事項をお読み頂く必要はありません。
クロスルート設定用証明書がインストールされているかどうかよくわからない場合は、下記のインストールチェッカーで確認して下さい。
http://www.ssl-process.com/support/checker_remove_cross.php
注意事項
対象製品でご利用いただいているクロスルート設定用証明書はG1ルート証明書(Class 3 Public Primary Certification Authority)が発行者になっております。
G1ルート証明書の利用終了に伴いまして、クロスルート設定用証明書をサーバから削除することを推奨いたします。
マイクロソフト社によるG1ルート証明書の信頼停止
マイクロソフト社ではルート証明書情報更新において、シマンテックのG1ルート証明書のプロパティの「利用目的」から「サーバー認証」をOFF (信頼停止)とする予定です。
■マイクロソフト社の更新予定日時
2016年4月19日(火) 米国時間
2016年4月19日(火) または20日(水)日本時間
■更新対象となるOS
- Windows Vista
- Windows7
- Windows8.1
- Windows10
■影響を受けるWindows OS上のブラウザ
- Internet Explorer
- Google Chrome
- Opera
- Microsoft Edge Browser
(注) Windows OS上で動作するMozilla社Firefoxは独自のルート証明書ストアを採用しているため影響をうけません。
警告(エラー)について
マイクロソフト社のルート証明書情報更新後(2016年4月19日以降)に、対象製品を利用してSSL/TLS通信を行った際に、以下の(1)から(5)の条件に全て該当する場合、「このWebサイトのセキュリティ証明書には問題があります」等のエラー画面が表示され、正しくHTTPS接続ができない事象が発生します。
■警告(エラー)の発生条件
以下の (1)から(5)のすべてに該当する場合
| 条件(1) 対象製品においてクロスルート設定用証明書をインストールしている |
| セキュア・サーバID、セキュア・サーバID EV、グローバル・サーバIDをご利用の場合で、なおかつクロスルート設定用証明書をインストールしている場合はこの条件に該当します。 |
| 条件(2) クライアント環境が以下のOSに該当する |
| クライアント環境のOSがWindows Vista、Windows7、Windows8.1、Windows10の場合はこの条件に該当します。 |
| 条件(3) クライアント環境が以下のブラウザに該当する |
| クライアント環境のブラウザがInternet Explorer、Google Chrome、Opera、Microsoft Edge Browserの場合はこの条件に該当します。 |
| 条件(4) マイクロソフト社のルート証明書更新情報が適用されること |
| マイクロソフト社のルート証明書更新情報が配信されることによりクライアント環境のルート証明書ストアに搭載されているG1ルート証明書のWindows上のプロパティ「サーバー認証」がOFF(信頼停止)とされた状態となります。ほとんどすべてのクライアント環境はこの条件に該当します。 |
| 条件(5) クライアント環境の証明書ストアにG5ルート証明書がインストールされていない |
| G5ルート証明書はマイクロソフト社に認可されたルート証明書です。G5ルート証明書がクライアント環境にインストールされていない状態でも、初めてSSL接続を行った際にG5ルート証明書が必要と認識された場合は自動でダウンロードされクライアントの証明書ストアにインストールされる仕組みになっています。このためG5ルート証明書は一部の特殊なクライアント環境を除いてほとんどのPC端末にインストールされています。この条件に該当するケースは少ないと推察いたします。 |
G5ルート証明書について
G5ルート証明書はWindows XP以降のOSでは出荷時点ではプレインストールされていませんが、以下のタイミングで自動的にクライアントの証明書ストアにインストールされます。
| ウェブサイトへのアクセスによる自動インストール |
| httpsサイト(認証局を問わず)初回接続時に、マイクロソフト社のオンラインストアからルート証明書リスト(キャッシュファイル)をダウンロードします。その後httpsサイト接続都度、キャッシュファイルから必要なルート証明書を「信頼されたルート証明機関」に自動的に追加し、利用可能な状態とします。 |
| ノートンセキュアドシール(旧ベリサイン シール)のスクリプトによる自動インストール |
| ノートンセキュアドシールが掲載されたウェブサイトに接続時に、シールに含まれるスクリプト機能により、G5ルート証明書を自動的にクライアント環境の「信頼されたルート証明機関」へ登録します。 |
| 「ルート証明書の更新プログラム」を適用 |
| 個別クライアントOS環境毎にexeをダウンロードして実行することで、MSFTが利用可能とする全てのルート証明書が「信頼されたルート証明機関」に展開され、利用可能な状態になります。 |
■ルート証明書が自動インストールされないケースについて
クライアント環境において以下のケースではルート証明書がクライアントPCに自動インストールされない可能性があります。
- 自動でルート証明書をダウンロードする機能の設定をOffにした場合
- ファイヤーウォール等でマイクロソフト社への接続を許可していない場合
- イントラネット等、マイクロソフトサーバにインターネット接続をしない(できない)環境の場合
- セキュリティポリシーやアカウントの権限により証明書のダウンロードや利用が制限されている場合
警告(エラー)の回避方法
警告(エラー)の発生条件(1)から(5)のすべてに該当する場合は、以下の対処が必要です。
(1) サーバ側の回避方法
サーバ側でクロスルート設定用証明書を削除していただくことで、警告(エラー)を回避できることが確認されております。
サーバ側でのクロスルート設定用証明書の削除手順は下記をご参照下さい。
Apacheからクロスルート設定用証明書を削除する手順
IISからクロスルート設定用証明書を削除する手順
|
(ご注意)
POSやATMなどの業務端末や機器、OA機器や家電、従来型の携帯電話など、新しい暗号技術(SHA-2)に対応したG5ルート証明書が搭載されていないクライアント環境(以下「レガシーな環境」と表記します)からのSSL接続につきまして、クロスルート設定用証明書を削除することにより、こうしたレガシーな環境のクライアントとSSL接続ができなくなります。 レガシーな環境からのアクセスを目的としている(レガシーな環境からのアクセスが非常に多い場合)は、クロスルート設定用証明書を削除せずに、(2)の回避方法にて対応して下さい。 |
(2) サーバ側でクロスルート設定用証明書を削除しない場合の回避方法
クライアント環境でG5ルート証明書を証明書ストアにインストールいただくことで、当該警告/エラー事象を回避できることが確認されております。
■手順(1)
クライアント環境から、ご利用のブラウザ(Internet Explore または Google Chrome)でシマンテックの下記のページにアクセスしてください。
https://www.symantec.com/website-security/(英語)
SSL接続に必要となるルート証明書が自動的に「信頼されたルート証明書」としてクライアント端末に取り込まれます。(クライアントはアクセスしてページを閲覧するだけです。何も特別な作業は必要ありません)
上記サイトアクセス後に一旦ブラウザを閉じてください。 その後、ブラウザをもう一度起動しなおして再度目的のサイトにアクセスして接続をご確認ください。
上記の手順でエラーが解消されない場合は、【手順(2)】をお試しください。
■手順(2)
クライアント環境の証明書ストアにG5ルート証明書をマニュアルでインストールします。
インストール手順はこちらをご参照下さい。
最終更新日 2016 年 4 月 10 日 日曜日 RSS 2.0