年末年始休業のお知らせ(2014年12月)

お客さま各位

当社の年末年始の休業につきましてご案内させて頂きます。
休業期間中はお客様には誠にご迷惑をおかけ致しますが何卒宜しくお願い申し上げます。

■年末年始の休業日　

2014年12月27日(土曜)～2015年1月4日(日曜)

■休業期間中のSSL証明書のお申込みは、通常どおりご利用いただけます。
クイック発行のSSLサーバー証明書は、最短5分で発行できます。
企業認証のあるSSLサーバー証明書は、認証局の年末年始休業のため認証作業が遅れます。

■休業期間中のお問合せなどのメールは
2015年1月5日（月曜日）より順次ご返信いたします。

■休業期間中は銀行振込によるご入金確認ができません。
休業期間中にお支払期限が到来するお客さまは、休業期間の翌営業日までにお振込を頂きますようにお願い致します。
あるいは、事前に弊社まで振込予定日をご連絡下さい。

なお、クレジットカード決済をご利用のお客さまにつきましては、休業期間中もクレジットカード決済によるお支払が可能でございます。

大変ご不便をおかけしますが、なにとぞよろしくお願いいたします。

お客様各位

平素はValueSSLをご利用頂きまして誠にありがとうございます。

SHA1版のサーバ証明書につきまして、2014年12月15日以降のお申込みは「有効期間　1年」のみ受付可能です。
また2015年後期には、SHA1版のお申込み受付は終了となる予定です。

SHA1版をご利用のお客様には、早期にSHA2版へ移行を進めていただけますようお願い致します。

お客様各位

日頃はValueSSLをご利用頂きまして誠にありがとうございます。

2014年 10月14日、米Google のセキュリティチームは SSL 3.0 の深刻な脆弱性「POODLE」（Padding Oracle On Downgraded Legacy Encryption）の発見について発表しました。

この脆弱性を悪用した場合、パスワードやクッキーにアクセスが可能となり、Web サイト上のユーザーの個人情報を盗めるようになります。

米Google のセキュリティチームはシステム管理者へ Web サイトの SSL のバージョン（SSL3.0を無効とする）の更新を強く勧めています。

■本脆弱性による SSL サーバ証明書の再発行や再インストールの必要はありません。

シマンテックのサポートページ
https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR2183

ジオトラストのサポートページ
https://knowledge.geotrust.com/support/knowledge-base/index?page=content&id=AR2185

SSL サーバ証明書の再発行や再インストールの必要はありませんが
サーバ側システム管理者の対応としましてSSL3.0を無効にすることを強く推奨いたします。

■本脆弱性に対する対応策は下記のベンダーのサポートページをご参照下さい。

Microsoft
https://technet.microsoft.com/library/security/3009008.aspx
Apache
http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html#msie
Tomcat
http://tomcat.apache.org/tomcat-6.0-doc/apr.html#HTTPS
Nginx
http://nginx.com/blog/nginx-poodle-ssl/
F5 Big IP
https://devcentral.f5.com/articles/cve-2014-3566-removing-sslv3-from-big-ip
Red Hat
https://access.redhat.com/articles/1232123

お客様各位

平素はValueSSLをご利用頂きまして誠にありがとうございます。

2014年09月16日以降に申請の署名ハッシュアルゴリズム SHA-2のサーバ証明書につきまして、中間CA証明書がSHA-1からSHA-2へ変更となりました。
※下図の赤字の個所が変更となりました。

■変更前 2014年9月15日以前の申請分

ルート証明書(SHA-1) クロスルート証明書(SHA-1) 中間CA証明書(SHA-1) サーバ証明書(SHA-2)

■変更後 2014年9月16日以降の申請分

ルート証明書(SHA-1) クロスルート証明書(SHA-1) 中間CA証明書(SHA-2) サーバ証明書(SHA-2)

■Q&A

[Q1] なぜ急に中間CA証明書を変更したのですか？
[A] サーバ証明書と中間CA証明書のいずれかにSHA-1が含まれている場合は、Google Chrome の「SHA-1サポートの段階的廃止」の対象となるため、中間CA証明書をSHA-1からSHA-2に変更しました。
詳細はGoogleがChrome 39 から「SHA-1」サポートの段階的廃止を発表をご参照下さい。

[Q2] ルート証明書はSHA-1のままでも問題ないのでしょうか？
[A] 信頼できるルート証明書のSHA-1ベース署名については、TLSクライアントでの安全性の判定にハッシュの署名が使われていないことから、今回のGoogle Chrome の「SHA-1サポートの段階的廃止」の対象にはなりません。しかし将来的にはルート証明書もSHA-2へと移行する予定です。

[Q3] SHA-1のサーバ証明書を取得しました。Google Chrome の「SHA-1サポートの段階的廃止」の影響はありますか？
[A] サーバ証明書の有効期間の終了日が2015年12月31日以前であれば、影響はありません。
サーバ証明書の有効期間の終了日が2016年1月1日以降の場合は影響があります。
Google Chrome の「SHA-1サポートの段階的廃止」の影響を回避するためには会員ページからサーバ証明書の再発行でSHA-2のサーバ証明書を取得して下さい。(再発行は無料です)

[Q4] 2014年09月15日以前にSHA-2のサーバ証明書を取得しました。Google Chrome の「SHA-1サポートの段階的廃止」の影響はありますか？
[A] サーバ証明書の有効期間の終了日が2015年12月31日以前であれば、影響はありません。
サーバ証明書の有効期間の終了日が2016年1月1日以降の場合は影響があります。
Google Chrome の「SHA-1サポートの段階的廃止」の影響を回避するためには会員ページからサーバ証明書の再発行でSHA-2のサーバ証明書を再取得して下さい。(再発行は無料です)

[Q5] 2014年09月15日以前にSHA-2のサーバ証明書を取得しました。サーバ証明書の再発行をせずに、中間CA証明書だけをSHA-1からSHA-2に置換えてもよいですか？
[A] いいえ、中間CA証明書の置換えはできません。サーバ証明書の再発行をせずにSHA-1の中間CA証明書をSHA-2の中間CA証明書に置き換えますと、正しい証明書チェーンが構成できません。必ず再発行で対応して下さい。

[Q6] 2014年09月16日以降にSHA-2のサーバ証明書を取得しました。Google Chrome の「SHA-1サポートの段階的廃止」の影響はありますか？
[A] 9月16日以降は中間CA証明書もSHA-2となりましたので影響はありません。