お客様各位

平素はValueSSLをご利用頂きまして誠にありがとうございます。

シマンテックグループでは、システムのメンテナビリティを向上のため、シマンテックグループ全体のプラットフォーム統合の取り組みを進めております。この取り組みの一環として、2013年12月にトゥルービジネスIDの中間CA証明書の変更を完了しましたが、引き続きましてクイックSSLプレミアム、RapidSSLの中間CA証明書が2014年7月以降に変更となる予定です。

■対象製品

■変更時期

2014年7月以降(日時は未定)

※日時の詳細は決定次第お知らせいたします。

■Q&A

[Q] 既存のサーバ証明書の中間CA証明書を変更する必要がありますか？
[A] いいえ、変更する必要はありません。
既存のサーバ証明書の中間CA証明書はをそのまま問題なくご利用いただけます。

[Q] PCブラウザ対応率、携帯電話対応率に影響がありますか？
[A] 影響はありません。
変更前後の中間CA証明書に関して、公開鍵長やハッシュ関数の変更はございません。またルート証明書およびクロスルート設定用証明書の変更はございません。
従いまして対象製品のブラウザ・携帯電話の対応率などへの影響はございません。

お客様各位

平素はValueSSLをご利用頂きまして誠にありがとうございます。

米国時間の2014年6月5日に、OpenSSLプロジェクトは、7つの脆弱性に対応するセキュリティパッチのリリースを発表しました。

本件につきまして、シマンテックグループの認証局(Symantec、Geotrust、Thawte)より、以下のページに案内(英文)がございます。

ご参照下さいますようお願い致します。

シマンテック
https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AD868

ジオトラスト
https://knowledge.geotrust.com/support/knowledge-base/index?page=content&id=AD869

Thawte
https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=AD870

■上記の案内の参考日本語訳(大意)は以下のとおりです。

重大な脆弱性(CVE-2014-0224)は、Man-in-the-Middle（MITM）攻撃によってクライアント側とサーバー側がともに脆弱性が存在するOpenSSLを利用している場合に、暗号化通信の内容を第三者（＝攻撃者）が読み取ったり、改ざんしたりすることができる深刻な脆弱性を含んでいます。

CVE-2014-0224によるMITM攻撃を実行するには、クライアント側とサーバー側がともに脆弱性が存在するOpenSSLを利用しており、しかもサーバーがバージョン1.0.1以降である必要があります。IE(インターネット・エクスプローラー)、FireFox、サファリおよびクロムようなブラウザは、OpenSSLを使用しません。
このため、この脆弱性が消費者およびTLSセキュリティにとって差し迫った危険が及ぶ可能性は低いと考えられます。

しかしながら、この脆弱性のあらゆる可能性を回避するために、サーバ側のOpenSSLを1.0.1hにアップグレードすることを強く推奨します。

■要点

• 本脆弱性が消費者およびTLSセキュリティにとって差し迫った危険が及ぶ可能性は低い。
• 本脆弱性のために、サーバ証明書の再発行、再設定は必要ありません。
• 本脆弱性のあらゆる可能性を回避するために、サーバ側のOpenSSLを1.0.1hにアップグレードすることを強く推奨します。

OpenSSLのアップグレードにつきましては、サーバ管理会社、サーバ技術担当者にご確認いただきますようにお願い致します。

お客さま各位

4月初旬より「powered by VeriSign」のノートンセキュアドシールシールは「powered by Symantec」にデザインを順次自動的に切り替えます。
シールの変更に際しお客様による作業は必要ございません。

変更内容は、以下のとおりです。

「 powered by VeriSign」 から 「powered by Symantec」に変更

■変更前

■変更後

お客様各位

平素はValueSSLをご利用頂きまして誠にありがとうございます。

OpenSSL 1.0.1-1.0.1f（及びOpenSSL1.0.2-beta)をご利用の方へ重要なご連絡です。
上記のバージョンをご利用で無い方は、該当いたしませんので以下の対応は必要ございません。

JPCERTよりOpenSSL の脆弱性に関する注意喚起がありました。
https://www.jpcert.or.jp/at/2014/at140013.html

OpenSSLに重大な脆弱性が発見され、
システムのメモリが第三者に閲覧され秘密鍵が漏洩する危険性があります。
該当するバージョンのOpenSSLを使用していた場合には、OpenSSLを最新のバージョンに、あるいは修正済みバージョンにアップデートしたのちに、秘密鍵とCSRを再作成してSSLサーバ証明書の再発行(無料）実施してください。

■該当バージョン

以下のバージョンが本脆弱性の影響を受けます。

– OpenSSL 1.0.1 から 1.0.1f
– OpenSSL 1.0.2-beta から 1.0.2-beta1

■OpenSSLのバージョンの確認方法

OpenSSLがインストールされたサーバ環境で以下のコマンドを実行ください。
# openssl version

■OpenSSLのバージョンアップ方法について

サーバ管理者またはサーバ管理会社にお問い合わせ下さい。

■再発行手順

OpenSSLのバージョンアップ後に、新しい秘密鍵を生成して新しいCSRを作成して下さい。
弊社会員ページにログインして該当オーダーにおいて、「再発行要請」ボタンをクリックして、
新しいCSRを貼付して再発行要請を実行して下さい。
新しいサーバ証明書が再発行されましたら、ご利用のサーバに再設定（インストール）して下さい。

■本脆弱性に関する参考URL

JPCERT(日本語):
https://www.jpcert.or.jp/at/2014/at140013.html

JVN（日本語）:
http://jvn.jp/vu/JVNVU94401838/index.html

Red Hat（日本語）:
https://access.redhat.com/security/cve/CVE-2014-0160

Hartbleed.com（英語）:
http://heartbleed.com

Debian.org（英語）:
https://security-tracker.debian.org/tracker/CVE-2014-0160

Ubuntu（英語）:
http://www.ubuntu.com/usn/usn-2165-1/