お客様各位
平素はValueSSLをご利用頂きまして誠にありがとうございます。
2014年07月11日以降に申請、発行されるEV SSL証明書の中間CA証明書が変更となりますのでご案内申し上げます。
■対象製品
| セキュア・サーバID EV グローバル・サーバID EV |
■変更時期
2014年7月11日以降の申請分
■Q&A
[Q] 既存のサーバ証明書の中間CA証明書を変更する必要がありますか?
[A] 2014年7月11日より前に申請、発行されました既存のサーバ証明書については何も変更する必要はありません。
既存のサーバ証明書の中間CA証明書はそのまま問題なくご利用いただけます。
[Q] PCブラウザ対応率、携帯電話対応率に影響がありますか?
[A] ブラウザ・携帯電話の対応率などへの影響はございません。
SHA-1版の受付は終了いたしました。
セキュリティ状況の変化によりまして、認証局より「早急にSHA-1からSHA-2へ移行の注意喚起」がございました。
SHA-1版の利用停止、申込受付の終了のスケジュールが急に変更となる可能性がございます。
最新のスケジュールはSHA-1版の受付終了スケジュールでご確認下さい。
2015年10月20日スケジュールを更新しました。
| 種類 | 新規申込 | 更新申込 |
|---|---|---|
| シマンテック製品 | × | × |
| ジオトラスト製品 | ○ (有効期間1年のみ) |
× |
| コモド製品 | × | × |
認証局ならびに弊社のシステム変更の都合上、予定よりも早く受付終了となる可能性がございます。
| 種類 | 新規申込 | 更新申込 |
|---|---|---|
| シマンテック製品 | 2015年02月20日受付終了しました | 2015年02月20日受付終了しました |
| ジオトラスト製品 | 2015年12月10日受付終了予定 |
2015年9月25日受付終了しました。 |
| コモド製品 | 2015年10月01日受付終了しました。 |
2015年10月01日受付終了しました。 |
| 種類 | 再発行 |
|---|---|
| シマンテック製品 | 有効期間の終了日が2016年12月31日までの証明書は SHA-1版での再発行が可能です。 会員ページから「SHA-1」を選択して再発行要請を送信して下さい。 |
| ジオトラスト製品 | |
| コモド製品 |
Google Chrome ならびに Windows IE の「SHA1版サポート廃止予定」の状況は以下のとおりです。下記の内容は2014年9月30日現在の状況です。
これらの状況は今後変更となる場合がございます。
 Google Chrome |
|
| サーバ証明書の終了日 | SHA1版サポート廃止の影響 |
| 2015年12月31日までの場合 | 影響ありません。 |
| 2016年1月1日から2016年12月31日の場合 |
2016年1月1日-2016年5月31日の場合はChrome41から警告がでます。 2016年6月1日-2016年12月31日の場合はChrome40から警告がでます。 |
| 2017年1月1日以降の場合 | Chrome39から警告がでます。 段階的に警告内容は厳しくなります。 |
| 備考 Chrome39安定版のリリース時期は2014年11月頃 Chrome40安定版のリリース時期は2015年01月頃 Chrome41安定版のリリース時期は2015年03月頃 |
|
 Windows Interne Explorer(IE) |
|
| すべてのSHA1版サーバ証明書 | 2017年01月01日以降は利用できません。 |
 Mozilla Firefox |
|
| サーバ証明書の終了日 | SHA1版サポート廃止の影響 |
| 2017年1月1日以降の証明書 | 2015年初期にリリース予定のFirefoxでは警告表示 上記以降にリリース予定のFirefoxではエラー表示 |
2014年10月05日 「主要ブラウザのSHA1版サポート廃止予定の状況」を追記しました。
Googleは2014年9月5日、データの改ざん検知などに使われるハッシュ関数の「SHA-1」の脆弱性が指摘されていることを受け、2014年11月にリリース予定の(正式版)Chrome 39からSHA-1のサポートを段階的に廃止することを発表しました。
Google ChromeのSHA-1のサポート廃止はバージョンごとに内容が異なります。
各バージョンごとに段階的に対処することが以下のGoogleブログで説明されています。
http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1.html
Google Chrome のSHA-1サポートの段階的に廃止に伴い、できるだけ早い時期にSHA-2に移行することを推奨いたします。詳細はGoogleがChrome 39 から「SHA-1」サポートの段階的廃止を発表をご参照下さい。
また、Google Chrome のSHA-1サポートの段階的に廃止に伴いまして、
2014年09月16日以降の申請分よりSHA-2版サーバ証明書の中間CA証明書が変更となりました。詳細はSHA-2 サーバ証明書の中間CA証明書変更のお知らせ
をご参照下さい。
2014年09月18日 「Google Chrome SHA-1版のサポートを段階的に廃止することを発表」を追記しました。
現在、シマンテック(旧ベリサイン)、ジオトラスト、ソート社のSSLサーバ証明書をご利用のすべてのお客様にお知らせいたします。
サーバ証明書のハッシュアルゴリズムにつきまして
2017年1月1日までに「SHA-1」から「SHA-2」へと移行の予定がございますのでご案内申し上げます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SHA-2への移行の背景
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
現在SSLサーバ証明書で使用される署名ハッシュアルゴリズムのスタンダードは
「SHA-1」ですが、各国政府機関やSSLサーバ証明書の業界団体では、
次世代のハッシュアルゴリズム「SHA-2」への移行を進めています。
また、2013年11月には、Microsoft社より、SHA-1ハッシュアルゴリズムの危殆化を背景に、SHA-1廃止ポリシーの発表がありました。
これにより、SHA-1ハッシュアルゴリズムのSSLサーバ証明書は2017年1月からIEなどの主要なブラウザで利用できなくなります。
■Microsoft社からの[SHA-1 廃止ポリシー] の要点
詳しくは
マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止
をご参照下さい。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SHA-2の提供開始
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
シマンテックグループの認証局(シマンテック、ジオトラスト、Thawte)では、
すでに署名ハッシュアルゴリズムSHA2への対応を開始しております。
弊社ウェブサイトのオンライン申請(注文受付)におきまして、
2014年7月22日より、以下のとおりSHA-2のお申込み受付を開始いたします。
サーバ証明書のお申込み時に「SHA-1」あるいは「SHA-2」のどちらかを選択できます。
| SHA-2証明書の仕様 | |
|---|---|
| 署名ハッシュアルゴリズム | SHA-2(SHA256) |
| 暗号化アルゴリズム | RSA |
| 証明書形式 | X.509 |
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
移行スケジュール
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
弊社ウェブサイト(ValueSSL)からのオンライン申請(注文受付)におきまして、
以下のスケジュールでSHA-1 から SHA-2 への移行を進める予定です。
| 期間 | ハッシュ関数 | 受付 | 備考 |
|---|---|---|---|
| 2014年7月22日~2014年12月31日 | SHA-1 | ○ | |
| SHA-2 | ○ | ||
| 2015年1月1日~2015年12月31日 | SHA-1 | ○ | |
| SHA-2 | ○ | ||
| 2016年1月1日~2016年12月31日 | SHA-1 | × | SHA-1 お申込受付停止 |
| SHA-2 | ○ | ||
| 2017年1月1日~ | SHA-1 | × | SHA-1 IEなどで利用停止 |
| SHA-2 | ○ |
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ウェブサイト管理者に求められるアクション
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SHA-2対応状況
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ブラウザ・サーバ機器対応状況
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SHA-2検証サイト
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■以下はSHA-2で構築されたSSLサイトです。
SHA-2 RapidSSL用検証サイト
https://sha2-rapid.ssl-help.com/sslcheck/mobi
SHA-2 QuickSSL Premium用検証サイト
https://sha2-quick.ssl-help.com/sslcheck/mobi
SHA-2 トゥルービジネスID用検証サイト
https://sha2-trbiz.ssl-help.com/sslcheck/mobi
SHA-2 セキュア・サーバID用検証サイト
https://sha2-secure.ssl-help.com/sslcheck/mobi
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SHA-2についてよくあるご質問
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Q:SHA-1、SHA-2とは何ですか?
ハッシュ関数の一つで、改ざん検知に利用される署名アルゴリズムのことです。
ハッシュ関数とは、テキストデータから別の固定長のテキストデータ(ハッシュ値)を生成する関数であり、
生成されたハッシュ値を比較することでデータの改ざんを確認することができます。
SHA-1とSHA-2でハッシュ値の長さが異なり、SHA-1は160ビット、SHA-2は224ビット・256ビット・384ビット・512ビットです。
Q:なぜ、SHA-1からSHA-2へ証明書のアルゴリズムを変える必要があるのですか?
ハッシュ関数による改ざん検知は、同じデータから生成されるハッシュ値が一様であることを前提に成り立っています。
ハッシュ値が短いと同一のハッシュ値を持つデータが発見される可能性が高くなり、安全性が低下します。
近年コンピュータの計算能力の向上により、SHA-1の安全性が危惧されるようになったため、
よりハッシュ値の長いSHA-2への移行が進めらています。
Q:SSLサーバ証明書のハッシュアルゴリズムの確認方法がわかりません。
ブラウザの鍵マークから参照することで確認できます。
Internet Explorerの場合は「詳細」の署名アルゴリズムまたは署名ハッシュアルゴリズム欄に、
Firefoxの場合は「詳細」のCertificate Signature Algorithm欄に記載されています。
Q:RSAの他にDSA、ECCなどの暗号化アルゴリズムにも対応していますか?
シマンテック(旧ベリサイン)、ジオトラスト、ソート社の認証局では、RSAの他にDSAの暗号化アルゴリズムにも対応しています。
また、シマンテックのグローバルサーバID、グローバルサーバID with EVにつきましてはECCの暗号化アルゴリズムにも対応しています。
しかしながら、現在の対応環境を考慮しますとRSA暗号化アルゴリズムを推奨いたします。
Q:ハッシュ関数の違いによりサーバ証明書のインストール方法に違いはあるのでしょうか?
インストール方法に違いはありません。
Q:ハッシュ関数の違いによりCSRの作成方法に違いはあるのでしょうか?
RSAの場合は、CSRの作成方法に違いはありません。
DSA、ECCの場合は、CSRの作成方法に違いがありますので注意が必要です。
Q:ハッシュ関数の違いにより対応環境(ブラウザ、携帯端末など)に違いはあるのでしょうか?
違いがあります。特にフィーチャーフォンにおいて対応率が低下しますのでご注意ください。
詳しくは
ブラウザ・サーバ機器対応状況
Q:SHA-2に環境が対応していないので、SHA-1の証明書を引き続き利用(発行)することは可能でしょうか?
SHA-1証明書の発行または利用には期限がございます。期限を過ぎての発行・利用はできません。詳細は上記の「Microsoft社からの発表」をご確認ください。
Q:有効期間の終了日が2017年1月1日以降のSHA-1のサーバ証明書を利用していますが、どのような対応が必要ですか?
2016年12月31日までに、再発行(無料)によりSHA-2のサーバ証明書を取得して、ご利用のサーバにインストールして下さい。
お客様各位
平素はValueSSLをご利用頂きまして誠にありがとうございます。
シマンテックグループでは、システムのメンテナビリティを向上のため、シマンテックグループ全体のプラットフォーム統合の取り組みを進めております。この取り組みの一環として、2013年12月にトゥルービジネスIDの中間CA証明書の変更を完了しましたが、引き続きましてクイックSSLプレミアム、RapidSSLの中間CA証明書が2014年7月以降に変更となる予定です。
■対象製品
| クイックSSLプレミアム RapidSSL RapidSSLワイルドカード |
■変更時期
2014年7月以降(日時は未定)
※日時の詳細は決定次第お知らせいたします。
■Q&A
[Q] 既存のサーバ証明書の中間CA証明書を変更する必要がありますか?
[A] いいえ、変更する必要はありません。
既存のサーバ証明書の中間CA証明書はをそのまま問題なくご利用いただけます。
[Q] PCブラウザ対応率、携帯電話対応率に影響がありますか?
[A] 影響はありません。
変更前後の中間CA証明書に関して、公開鍵長やハッシュ関数の変更はございません。またルート証明書およびクロスルート設定用証明書の変更はございません。
従いまして対象製品のブラウザ・携帯電話の対応率などへの影響はございません。
お客様各位
平素はValueSSLをご利用頂きまして誠にありがとうございます。
米国時間の2014年6月5日に、OpenSSLプロジェクトは、7つの脆弱性に対応するセキュリティパッチのリリースを発表しました。
本件につきまして、シマンテックグループの認証局(Symantec、Geotrust、Thawte)より、以下のページに案内(英文)がございます。
ご参照下さいますようお願い致します。
シマンテック
https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AD868
ジオトラスト
https://knowledge.geotrust.com/support/knowledge-base/index?page=content&id=AD869
Thawte
https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=AD870
■上記の案内の参考日本語訳(大意)は以下のとおりです。
重大な脆弱性(CVE-2014-0224)は、Man-in-the-Middle(MITM)攻撃によってクライアント側とサーバー側がともに脆弱性が存在するOpenSSLを利用している場合に、暗号化通信の内容を第三者(=攻撃者)が読み取ったり、改ざんしたりすることができる深刻な脆弱性を含んでいます。
CVE-2014-0224によるMITM攻撃を実行するには、クライアント側とサーバー側がともに脆弱性が存在するOpenSSLを利用しており、しかもサーバーがバージョン1.0.1以降である必要があります。IE(インターネット・エクスプローラー)、FireFox、サファリおよびクロムようなブラウザは、OpenSSLを使用しません。
このため、この脆弱性が消費者およびTLSセキュリティにとって差し迫った危険が及ぶ可能性は低いと考えられます。
しかしながら、この脆弱性のあらゆる可能性を回避するために、サーバ側のOpenSSLを1.0.1hにアップグレードすることを強く推奨します。
■要点
OpenSSLのアップグレードにつきましては、サーバ管理会社、サーバ技術担当者にご確認いただきますようにお願い致します。
お客さま各位
4月初旬より「powered by VeriSign」のノートンセキュアドシールシールは「powered by Symantec」にデザインを順次自動的に切り替えます。
シールの変更に際しお客様による作業は必要ございません。
変更内容は、以下のとおりです。
■変更前
■変更後
