ベリサインでは、2010年 後半におきまして、暗号アルゴリズムの安全性の維持・向上を目的として、ベリサイン サーバID(SSLサーバ証明書)の仕様変更を行います。
この仕様変更は、「暗号アルゴリズムにおける2010年問題」への対策の一つとして、対象製品において利用中の公開鍵長をRSA2,048bit以上へ移行することを目的とした取組みでございます。
尚、現在お客様がご利用中の、RSA1,024bitの公開鍵を利用して発行済みのサーバID証明書は、有効期限を迎えるまで問題なくご利用いただくことが可能です。
「暗号アルゴリズムにおける2010年問題」とは
暗号アルゴリズムの安全性は、コンピュータの性能向上および暗号解読技術の進展により、徐々に低下していくことが避けられません。例えばNIST(米国標準技術研究所) では、現在利用されている米国政府使用の暗号技術(暗号アルゴリズム)を、2010年末までにより安全なアルゴリズムへ移行させる方針を打ち出しています。セキュリティの観点からは、より安全な暗号アルゴリズムへ早急に移行することが望ましい一方で、SSL/TLS通信に支えられる情報システムの安全性・可用性を損なうことなく移行するためには、企業システムの改修にかかるコストの問題や、組込み機器における実装上の制約など、多くの課題が存在します。この「移行」に伴う問題が一般的に「暗号アルゴリズムにおける2010年問題」、または「2010年問題」と呼ばれています。
(1) 仕様変更の理由
米国NISTでは、米国連邦政府機関の情報システムについて、計算機性能の向上や脆弱性の問題などを考慮し、安全性確保の観点から2010年末を期限にRSA1,024bit鍵長の利用を中止する方針を示しています。
ベリサインではこれらの技術動向を踏まえ、ベリサイン サーバID証明書製品について、以下の通りRSA2,048bit以上の鍵長への移行を行うことを決定いたしました。
(2) 仕様変更の対象となる製品
グローバル・サーバID
セキュア・サーバID
(注) EV SSL証明書は、CAブラウザフォーラムが定めるガイドラインに従い、既にRSA2,048bitへの移行を完了しているため、今回の移行の対象に含みません。
(3) 仕様変更の日程
2010年 後半 (7月~12月の間) を予定しております。
仕様変更日時の詳細について確定次第、あらためて当Webページへの掲載およびお客様へのご連絡をさせていただきます。
(4) 仕様変更の内容
対象製品において利用中の公開鍵長について、それぞれ以下に示す方法でRSA2,048bitへの移行を行います。
■CSR(証明書署名要求)
サーバIDの申請時に提出いただくCSR(証明書署名要求)の鍵長について、RSA2,048bitを下限として受付けさせていただくよう、仕様変更を行います。仕様変更後にサーバIDを申請頂く際には、CSRの鍵長をRSA2,048bit以上としていただく必要がございます。
* 仕様変更以前に発行されたRSA1,024bitの公開鍵を利用したサーバIDは、仕様変更後に有効期限を迎えるまで、問題なくご利用いただくことが可能です。
■中間認証局証明書
仕様変更後に発行されるサーバIDをお客様のサーバ環境に導入いただく際には、新しい中間認証局証明書(公開鍵長RSA2,048bit)を導入いただく必要があります。
■ルート証明書
仕様変更後に発行されるサーバIDは、RSA2,048bitのルート証明書によって検証されます。ブラウザなどのクライアント環境には、RSA2,048bitのルート証明書が導入されていることが必要となります。
RSA2,048bitの公開鍵を持つベリサインのルート証明書は、既に多くのブラウザ環境に導入されています。
(5) 仕様変更による影響について
サーバID(SSLサーバ証明書) 多くのサーバやSSLアクセラレータ、またブラウザや携帯電話などのクライアント環境は、既にRSA2,048bitに対応していることが確認されております。しかしお客様がご利用中の機器やシステム構成によっては、RSA2,048bitへ未対応であるなどの理由で、SSL通信が出来なくなるなどの影響を与える可能性がございます。
(参考)「携帯電話端末 機種一覧」
影響について不明な点がございましたら、各機器やシステムの開発元へ事前にご確認をいただけますよう、お願い申しあげます。