お客様　各位

2025年10月31日
ZERONET株式会社

平素はValueSSLをご利用いただきありがとうございます。

本件はSectigo(COMODO)証明書を2025年6月以降に取得してIISでクロスルート設定をした際に発生する問題とその回避策をお知らせしております。
WEBサーバがIISでない方、及び発行された証明書のルートがR46やE46ではない方は本件の対象外ですのでお読みいただく必要はありません。

■現象
2025年6月以降にSectigo社(COMODO)の証明書を取得してIISにインストール(クロスルート設定を伴う)したが
一部の古い端末でSSL接続が失敗する。(クロスルートが正しく機能していない)

■原因
この問題は、Microsoft IISサーバーに特有の不具合が原因です。

SSL/TLS証明書の認証局のルート証明書の変更時は、新しいルート証明書に切り替えつつ古い端末の互換性も維持するため、クロスルート証明書が提供されることがよくあります。

クロスルート証明書を設定することにより
新しいルート証明書を搭載した最新端末は新しいルート証明書経路を選択し、新しいルート証明書を搭載していない古い端末は古いルート証明書経路を選択し、それぞれが正しい信頼チェーンを構築できる仕組みです。

しかしながらIISサーバーは TLSハンドシェイクの際に、本来はクライアント端末が選択すべきであるルート証明書の経路をIIS側で先に確定してしまいます。
これにより古い端末が必要とするクロスルート経由の証明書経路を利用することができず、接続エラーを引き起こすことがあります。

■回避策
IISサーバー本体で新しいR46ルートを一時的に「許可しない」ようにし、クロスルート証明書を使用してクライアントに提供する方法が有効です。

設定の詳細につきましては
セクティゴジャパン社様の下記のページをご参照下さい。
https://comodo.jp/support/dtl_81

お客さま各位

平素はValueSSLをご利用頂き誠にありがとうございます。

表題の件につき、デジサートジャパン社様より下記の案内がございました。
該当のお客様は2025年 9月 8日（日本時間）までにご対応のほどよろしくお願い致します。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

貴組織において、データセンターから外向きの通信について
IPアドレスをベースにファイアーウォールなどで制限をかけている場合、
2025年 9月 8日（日本時間）までに下記の変更を適用頂きたくお願い申し上げます。

今回の変更にはIPv4アドレスの追加、ならびにHTTP/1.0のサポート終了が含まれます。
お手数ですが、詳細につきましては下記に記載の内容をご確認いただきたくお願いいたします。

弊社では、引き続きサービスの向上に努めてまいりますので、今後ともご愛顧を
賜りますよう、お願い申し上げます。

1. 影響を受けるサービス
　以下をはじめとする弊社の全てのサービスに影響がございます。
• DigiCert CertCentral
• DigiCert CertCentral EMEA
• QuoVadis TrustLink
• DigiCert PKI Platform 8
• DigiCert ONE

なお、以下のURLから始まる CRL、およびOCSPサービスについては影響はございません。
· one.digicert.com
· one.nl.digicert.com
· one.ch.digicert.com
· one.digicert.co.jp
· One.oracle.digicert.com

また発行済み証明書への影響もございません。

2. 変更の適用日
2025年 9月 9日午前1時（日本時間）

3. 変更点

3.1. IPv4 アドレスの追加
　貴組織において、IPアドレスをベースに社内から外向きの通信について、
ファイアーウォールなどで制限をかけている場合、2025年 9月 8日までに、
以下のリンク先に記載するIPV4アドレスの追加作業をお願いいたします。
新しいIPアドレスのリストについては下記をご参照ください。
https://knowledge.digicert.com/jp/alerts/digicert-certificate-status-ip-address

　今回の変更はTLSサーバー証明書のCRLならびにOCSPでTLSサーバー証明書の
失効確認を実施している通信の際にも影響がありますのでファイアーウォールの
ルール設定でIPアドレスに制限をしている場合は対象IPを追加してください。
以下に該当する場合には、本件の対応は不要です。
• IPアドレスで制限をかけていない、もしくはIPアドレスではなくURLで制限をかけている場合

3.2. HTTP/1.0のサポート終了
　貴組織において、OCSPの処理ならびにCRLのダウンロードにHTTP/1.0を
使用している場合には、HTTP/1.1への移行をお願いいたします。

4. 変更の理由について
　現在使用しているCDN（コンテンツ配信ネットワーク）についてIP v4アドレスを
追加いたします。また合わせてHTTP/1.0のサポートを終了いたします。

5． 本件に関するFAQ
https://knowledge.digicert.com/jp/alerts/digicert-certificate-status-ip-address

お客さま各位

平素はValueSSLをご利用頂き誠にありがとうございます。

当社の2025年度お盆休業につきましてご案内させて頂きます。
休業期間中はお客様には誠にご迷惑をおかけ致しますが何卒宜しくお願い申し上げます。

■2025年度　お盆休業期間　

2025年08月12日（火曜日）～ 2025年08月15日(金曜日)

■休業期間中もSSL証明書の申請（お申込み）は、通常どおり受付致しております。

クイック発行のSSLサーバー証明書は、休業期間中も最短5分で発行できます。
企業認証のあるSSLサーバー証明書は、通常よりも認証作業に遅れがございます。

※例年お盆期間と、その前後は認証局の認証作業も遅延いたします。

■休業期間中のお問合せなどのメールは

2025年08月18日（月曜日）より順次ご返信いたします。

■休業期間中は銀行振込によるご入金確認ができません。

弊社休業期間中にお支払期限が到来するお客さまは、お支払いは休業日明けとなりましても問題ございません。
あるいは、事前に弊社まで振込予定日をご連絡下さい。

なお、クレジットカード決済をご利用のお客さまにつきましては、休業期間中もクレジットカード決済によるお支払が可能でございます。

大変ご不便をおかけしますが、なにとぞよろしくお願いいたします。

お客様　各位

2025年06月18日
ZERONET株式会社

表題の件につきましてデジサート社では下記のとおりパブリックTLS/SSL証明書において、
鍵拡張使用法領域にクライアント認証の用途追加を終了する変更を予定しております。

ウェブサイトの通信暗号化（HTTPS）用途でTLS/SSLサーバ証明書をご利用の場合は
本変更の影響はございませんので以下の案内はお読みいただく必要はございません。

クライアント認証をご利用の場合は今後は本変更の影響がございますので必ず最後までお読み下さい。

本変更は、パブリックTLS/SSL証明書に関するブラウザ Rootプログラムの変更を受けて、
段階的に変更を実施してまいります。
現在当該証明書をクライアント認証用、mTLS（Mutual TLS) および相互認証用でご利用いただいて
おりますお客様は、期日までに必要な対処をご計画ください。

本変更の詳細については下記の内容をご確認いただきたくお願いいたします。
なお、 本変更は発行済みの証明書には影響がございませんが、変更期日以降の再発行、
更新については、影響がございますのでご注意ください。

1. 影響を受ける証明書について
パブリックTLS/SSL証明書をクライアント認証の用途でご利用の場合は影響があります。
パブリックTLS/SSL証明書について、現在標準で鍵拡張使用法
（Extended Key Usage、以下EKU）領域にクライアント認証用のOIDを格納しておりますが、
順次利用を制限いたします。
ウェブサイトの通信暗号化（HTTPS）用途でTLS/SSLサーバ証明書をご利用の場合は
影響はございません。

2. 変更の詳細と適用日
・2025年10月 1日（米国時間）：
デジサート社は当該日より、パブリックTLS/SSL証明書について、EKUにクライアント認証用の
OIDをデフォルトで格納いたしません。申請時に追加オプションを選択することで、
クライアント認証用のOIDを追加することが可能です。

・2026年 5月 1日（米国時間）：
デジサート社は当該日より、パブリックTLS/SSL証明書について、EKUへクライアント認証用の
OIDを格納できません。当該日以降に行う新規、更新、再発行など全ての証明書の
発行において元の証明書のEKUの値に関わらず、クライアント認証用OIDは格納できません。

パブリック TLS 証明書からクライアント認証 EKU サービス停止のご案内
https://knowledge.digicert.com/jp/alerts/sunsetting-client-authentication-eku-from-digicert-public-tls-certificates

3. お客様にご対応いただきたいこと
2026年 5月 1日以後は、パブリックTLS/SSL証明書について、EKUにクライアント認証用の
OIDを格納できませんので、当該証明書をTLSクライアント認証のクライアント側として
利用することはできません。よって現在、パブリックTLS/SSL証明書１枚をサーバー証明書と
クライアント認証の両方に使用している場合には、次の代案の適用をご計画ください。

具体的には、以下が代案になります。

– 複数の組織（法人）間での相互認証が必要なケース
　パブリック TLS /SSLサーバー証明書は、パブリックのルートを利用しているため、
複数の組織および法人間の認証に使用されているケースがございます。

このような複数の組織にて信頼できる認証局で、CA Browser Forumおよびブラウザの
Rootプログラムから独立して運営されているものとして、ASC X9 (Accredited Standards
Committee X9) があります。こちらは米国の金融サービス業界向けに、自発的な合意の
もとで機能する標準を策定、維持することを ANSI（米国規格協会）によって
認定されている組織です。この合意に基づく認証局からは、TLS/SSLサーバー証明書を
発行しており、前述のとおりCA Browser ForumおよびブラウザのRootプログラムとは
異なる管理となるため、引き続きEKUにクライアント認証用OIDを格納することが可能です。

ASC X9について
https://www.digicert.com/jp/faq/compliance/what-is-the-accredited-standards-committee

DigiCertのX9 PKIサービスについて
https://www.digicert.com/jp/solutions/x9-pki-security-solutions

– 認証が組織（企業）内であるケース
　組織が組織（企業）内である場合には、プライベート認証局からEKUに
クライアント認証用OIDを含むTLS/SSLサーバー証明書を発行することで、
デジサートのプライベート認証局ソリューションへ移行して引き続き同様の認証を
行うことが可能です。

プライベート PKI とパブリック PKI とはそれぞれ何ですか？
https://www.digicert.com/jp/faq/identity-and-access-trust/what-is-private-pki-vs-public-pki

プライベート PKI ソリューション
https://www.digicert.com/jp/private-pki

– サーバー用認証証明書とクライアント認証用の証明書を別にして運用
　サーバー用の証明書とクライアント認証用の証明書を、それぞれ別にして運用することは
可能ですがその管理対象が増加することから、PKI証明書の運用を最適化する
ソリューションを合わせてご検討ください。DigiCert Trust LifeCycle Managerは、
パブリックやプライベート証明書の確認、インストール状況、期限管理の自動化などを
実現しております。

お客様　各位
2025年06月05日
ZERONET株式会社

平素はValueSSLをご利用いただき、誠にありがとうございます。

表題の件につきまして、Webサイトと安全な通信を実現するための国際標準規格を定めている「CA/Browser Forum（CA/ブラウザーフォーラム）」はTLS証明書の有効期間を2029年3月までに段階的に最長47日間へ短縮することを決議しました。

CA/Browser Forumは、ブラウザと認証局など 約80社が参加する業界団体。パブリックPKIに関 する様々な合意事項やベストプラクティスの議論などのコンセンサスづくりを行う 団体です。

Appleによる具体的な提案(2024年3月27日時点)

■有効期間短縮の背景

（１）　ブラウザ速度向上
CRLやOCSPなどの証明書失効情報への参照トランザクションを減らしてブラウザの速度向上を図る

(2)　セキュリティ向上
OCSP/CRL取得時の発IPによるプライバシーの漏洩リスクを軽減する

(3)　有効期間の 短縮化
常に新しい認証をもとに更新 を行うことで、CRL/OCSPを利 用しなくても安全な状態にする。
また現在の暗号が危殆化したとき の新技術の適用を高速化する

■デジサートの証明書ライフサイクルの自動化サービス

デジサート社ではACMEエージェントを提供してお客様の証明書ライフサイクルを完全自動化します。
CSRの作成から証明書の申請、ドメイン認証(ファイル認証、DNS認証に限定)、証明書のダウンロード、インストールまで自動化できるサービスをお客様に提供予定でございます。
詳細につきましてはご準備出来次第ご案内いたします。

本件につきましてデジサート社ブログに有益な情報が掲載されておりますのでご参照頂ければ幸いです。
https://www.digicert.com/jp/blog/tls-certificate-lifetimes-will-officially-reduce-to-47-days