お客様各位

平素はValueSSLをご利用頂きまして誠にありがとうございます。

SHA1版のサーバ証明書につきまして、2014年12月15日以降のお申込みは「有効期間　1年」のみ受付可能です。
また2015年後期には、SHA1版のお申込み受付は終了となる予定です。

SHA1版をご利用のお客様には、早期にSHA2版へ移行を進めていただけますようお願い致します。

お客様各位

日頃はValueSSLをご利用頂きまして誠にありがとうございます。

2014年 10月14日、米Google のセキュリティチームは SSL 3.0 の深刻な脆弱性「POODLE」（Padding Oracle On Downgraded Legacy Encryption）の発見について発表しました。

この脆弱性を悪用した場合、パスワードやクッキーにアクセスが可能となり、Web サイト上のユーザーの個人情報を盗めるようになります。

米Google のセキュリティチームはシステム管理者へ Web サイトの SSL のバージョン（SSL3.0を無効とする）の更新を強く勧めています。

■本脆弱性による SSL サーバ証明書の再発行や再インストールの必要はありません。

シマンテックのサポートページ
https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR2183

ジオトラストのサポートページ
https://knowledge.geotrust.com/support/knowledge-base/index?page=content&id=AR2185

SSL サーバ証明書の再発行や再インストールの必要はありませんが
サーバ側システム管理者の対応としましてSSL3.0を無効にすることを強く推奨いたします。

■本脆弱性に対する対応策は下記のベンダーのサポートページをご参照下さい。

Microsoft
https://technet.microsoft.com/library/security/3009008.aspx
Apache
http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html#msie
Tomcat
http://tomcat.apache.org/tomcat-6.0-doc/apr.html#HTTPS
Nginx
http://nginx.com/blog/nginx-poodle-ssl/
F5 Big IP
https://devcentral.f5.com/articles/cve-2014-3566-removing-sslv3-from-big-ip
Red Hat
https://access.redhat.com/articles/1232123

お客様各位

平素はValueSSLをご利用頂きまして誠にありがとうございます。

2014年09月16日以降に申請の署名ハッシュアルゴリズム SHA-2のサーバ証明書につきまして、中間CA証明書がSHA-1からSHA-2へ変更となりました。
※下図の赤字の個所が変更となりました。

■変更前 2014年9月15日以前の申請分

ルート証明書(SHA-1) クロスルート証明書(SHA-1) 中間CA証明書(SHA-1) サーバ証明書(SHA-2)

■変更後 2014年9月16日以降の申請分

ルート証明書(SHA-1) クロスルート証明書(SHA-1) 中間CA証明書(SHA-2) サーバ証明書(SHA-2)

■Q&A

[Q1] なぜ急に中間CA証明書を変更したのですか？
[A] サーバ証明書と中間CA証明書のいずれかにSHA-1が含まれている場合は、Google Chrome の「SHA-1サポートの段階的廃止」の対象となるため、中間CA証明書をSHA-1からSHA-2に変更しました。
詳細はGoogleがChrome 39 から「SHA-1」サポートの段階的廃止を発表をご参照下さい。

[Q2] ルート証明書はSHA-1のままでも問題ないのでしょうか？
[A] 信頼できるルート証明書のSHA-1ベース署名については、TLSクライアントでの安全性の判定にハッシュの署名が使われていないことから、今回のGoogle Chrome の「SHA-1サポートの段階的廃止」の対象にはなりません。しかし将来的にはルート証明書もSHA-2へと移行する予定です。

[Q3] SHA-1のサーバ証明書を取得しました。Google Chrome の「SHA-1サポートの段階的廃止」の影響はありますか？
[A] サーバ証明書の有効期間の終了日が2015年12月31日以前であれば、影響はありません。
サーバ証明書の有効期間の終了日が2016年1月1日以降の場合は影響があります。
Google Chrome の「SHA-1サポートの段階的廃止」の影響を回避するためには会員ページからサーバ証明書の再発行でSHA-2のサーバ証明書を取得して下さい。(再発行は無料です)

[Q4] 2014年09月15日以前にSHA-2のサーバ証明書を取得しました。Google Chrome の「SHA-1サポートの段階的廃止」の影響はありますか？
[A] サーバ証明書の有効期間の終了日が2015年12月31日以前であれば、影響はありません。
サーバ証明書の有効期間の終了日が2016年1月1日以降の場合は影響があります。
Google Chrome の「SHA-1サポートの段階的廃止」の影響を回避するためには会員ページからサーバ証明書の再発行でSHA-2のサーバ証明書を再取得して下さい。(再発行は無料です)

[Q5] 2014年09月15日以前にSHA-2のサーバ証明書を取得しました。サーバ証明書の再発行をせずに、中間CA証明書だけをSHA-1からSHA-2に置換えてもよいですか？
[A] いいえ、中間CA証明書の置換えはできません。サーバ証明書の再発行をせずにSHA-1の中間CA証明書をSHA-2の中間CA証明書に置き換えますと、正しい証明書チェーンが構成できません。必ず再発行で対応して下さい。

[Q6] 2014年09月16日以降にSHA-2のサーバ証明書を取得しました。Google Chrome の「SHA-1サポートの段階的廃止」の影響はありますか？
[A] 9月16日以降は中間CA証明書もSHA-2となりましたので影響はありません。

お客様各位

日頃はValueSSLをご利用頂きまして誠にありがとうございます。

Googleは2014年9月5日、データの改ざん検知などに使われるハッシュ関数の「SHA-1」の脆弱性が指摘されていることを受け、2014年11月にリリース予定の(正式版)Chrome 39からSHA-1のサポートを段階的に廃止することを発表しました。
Google ChromeのSHA-1のサポート廃止はバージョンごとに内容が異なります。

各バージョンごとに段階的に対処することがGoogleブログで説明されています。
http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1.html

Chromeの「SHA-1」サポート廃止の要点

簡単にまとめますと以下の内容となります。

1. サーバ証明書の終了日が2015年12月31日以前の場合は、サーバ証明書と中間CA証明書が「SHA-1」であっても「SHA-2」であっても影響はありません。
2. サーバ証明書の終了日が2016年01月01日以降の場合で、サーバ証明書と中間CA証明書のいずれかに「SHA-1」が含まれる場合は影響があります。

認証局(シマンテック、ジオトラスト、Thawte)の対応

認証局(シマンテック、ジオトラスト、Thawte)ではGoogle Chromeの「SHA-1 サポートの段階的廃止」の発表を受けて、2014年9月16日以降
のお申込み(申請分)より「SHA-2」サーバ証明書の中間CA証明書を従来の「SHA-1」から「SHA-2」に変更いたしました。

詳細は「SHA-2」中間CA証明書変更のお知らせをご参照下さい。
http://news.valuessl.net/?p=913&cat=1

2014年9月15日以前にSHA-2にてサーバ証明書を取得されている場合は、中間CA証明書がSHA-1のため、今回のGoogle ChromeのSHA-1のサポート廃止の影響を受けます。

誠にお手数ですが、会員ページよりサーバ証明書の再発行を実施して下さい。
該当のお客様には弊社より9月末までにご案内メールをお送りいたします。

Google Chromeの「SHA-1]サポート段階的廃止のスケジュール

影響なし

安全(ただしマイナーエラーを含む)

安全(ただしマイナーエラーを含む)

中間(安全とはいえない)

安全(ただしマイナーエラーを含む)

公平に見て安全とはいえない