ValueSSL クイックSSLプレミアム ValueSSL

OpenSSL脆弱性 (CVE-2014-0224)についてのお知らせ

お客様各位

平素はValueSSLをご利用頂きまして誠にありがとうございます。

米国時間の2014年6月5日に、OpenSSLプロジェクトは、7つの脆弱性に対応するセキュリティパッチのリリースを発表しました。

本件につきまして、シマンテックグループの認証局(Symantec、Geotrust、Thawte)より、以下のページに案内(英文)がございます。

ご参照下さいますようお願い致します。

シマンテック
https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AD868

ジオトラスト
https://knowledge.geotrust.com/support/knowledge-base/index?page=content&id=AD869

Thawte
https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=AD870

■上記の案内の参考日本語訳(大意)は以下のとおりです。

重大な脆弱性(CVE-2014-0224)は、Man-in-the-Middle(MITM)攻撃によってクライアント側とサーバー側がともに脆弱性が存在するOpenSSLを利用している場合に、暗号化通信の内容を第三者(=攻撃者)が読み取ったり、改ざんしたりすることができる深刻な脆弱性を含んでいます。

CVE-2014-0224によるMITM攻撃を実行するには、クライアント側とサーバー側がともに脆弱性が存在するOpenSSLを利用しており、しかもサーバーがバージョン1.0.1以降である必要があります。IE(インターネット・エクスプローラー)、FireFox、サファリおよびクロムようなブラウザは、OpenSSLを使用しません。
このため、この脆弱性が消費者およびTLSセキュリティにとって差し迫った危険が及ぶ可能性は低いと考えられます。

しかしながら、この脆弱性のあらゆる可能性を回避するために、サーバ側のOpenSSLを1.0.1hにアップグレードすることを強く推奨します。

■要点

  • 本脆弱性が消費者およびTLSセキュリティにとって差し迫った危険が及ぶ可能性は低い。
  • 本脆弱性のために、サーバ証明書の再発行、再設定は必要ありません。
  • 本脆弱性のあらゆる可能性を回避するために、サーバ側のOpenSSLを1.0.1hにアップグレードすることを強く推奨します。

OpenSSLのアップグレードにつきましては、サーバ管理会社、サーバ技術担当者にご確認いただきますようにお願い致します。

ノートンセキュアドシールのデザイン変更に関するお知らせ

お客さま各位

2014年04月12日

4月初旬より「powered by VeriSign」のノートンセキュアドシールシールは「powered by Symantec」にデザインを順次自動的に切り替えます。
シールの変更に際しお客様による作業は必要ございません。

変更内容は、以下のとおりです。

「 powered by VeriSign」 から 「powered by Symantec」に変更

■変更前
シマンテックノートンセキュアドシール変更前

■変更後
シマンテックノートンセキュアドシール変更後

OpenSSL1.0.1に含まれる脆弱性対応のお願い

お客様各位

平素はValueSSLをご利用頂きまして誠にありがとうございます。

OpenSSL 1.0.1-1.0.1f(及びOpenSSL1.0.2-beta)をご利用の方へ重要なご連絡です。
上記のバージョンをご利用で無い方は、該当いたしませんので以下の対応は必要ございません。

JPCERTよりOpenSSL の脆弱性に関する注意喚起がありました。
https://www.jpcert.or.jp/at/2014/at140013.html

OpenSSLに重大な脆弱性が発見され、
システムのメモリが第三者に閲覧され秘密鍵が漏洩する危険性があります。
該当するバージョンのOpenSSLを使用していた場合には、OpenSSLを最新のバージョンに、あるいは修正済みバージョンにアップデートしたのちに、秘密鍵とCSRを再作成してSSLサーバ証明書の再発行(無料)実施してください。

■該当バージョン

以下のバージョンが本脆弱性の影響を受けます。

– OpenSSL 1.0.1 から 1.0.1f
– OpenSSL 1.0.2-beta から 1.0.2-beta1

■OpenSSLのバージョンの確認方法

OpenSSLがインストールされたサーバ環境で以下のコマンドを実行ください。
# openssl version

■OpenSSLのバージョンアップ方法について

サーバ管理者またはサーバ管理会社にお問い合わせ下さい。

■再発行手順

OpenSSLのバージョンアップ後に、新しい秘密鍵を生成して新しいCSRを作成して下さい。
弊社会員ページにログインして該当オーダーにおいて、「再発行要請」ボタンをクリックして、
新しいCSRを貼付して再発行要請を実行して下さい。
新しいサーバ証明書が再発行されましたら、ご利用のサーバに再設定(インストール)して下さい。

■本脆弱性に関する参考URL

JPCERT(日本語):
https://www.jpcert.or.jp/at/2014/at140013.html

JVN(日本語):
http://jvn.jp/vu/JVNVU94401838/index.html

Red Hat(日本語):
https://access.redhat.com/security/cve/CVE-2014-0160

Hartbleed.com(英語):
http://heartbleed.com

Debian.org(英語):
https://security-tracker.debian.org/tracker/CVE-2014-0160

Ubuntu(英語):
http://www.ubuntu.com/usn/usn-2165-1/

消費税率改定に伴うシステムメンテナンスのお知らせ

お客様各位

日頃はValueSSLをご利用頂きまして誠にありがとうございます。
消費税率改定に伴うシステムメンテナンスを下記のとおり実施いたします。

■システムメンテナンス予定日時

2014年03月31日(月曜)午後11時 から
2014年04月01日(火曜)午後3時 まで

※上記の日時は日本時間となっております。

■メンテナンスの影響

 ・弊社ウェブサイトからのお申込みができません。
 ・会員ページへのアクセスができません。

大変ご迷惑をお掛け致しますが何卒ご理解賜わりますようお願いいたします。

トゥルービジネスIDの中間CA証明書変更のお知らせ

お客様各位

平素はValueSSLをご利用頂きまして誠にありがとうございます。

本メールは【ValueSSL】会員様のメールアドレス宛てに送信致しております。

ジオトラスト社の下記の対象製品につきまして、中間CA証明書の変更をご連絡申
し上げます。

■対象製品

トゥルービジネスID
トゥルービジネスIDワイルドカード
トゥルービジネスIDマルチドメイン		 2013年12月6日以降のお申込みは
こちら→ (新)中間CA証明書

2013年12月5日以前のお申込みは
こちら→ (旧)中間CA証明書

トゥルービジネスID EV 2013年12月6日以降のお申込みは
こちら→ (新)中間CA証明書

2013年12月5日以前のお申込みは
こちら→ (旧)中間CA証明書

■変更時期

2013年12月6日(午前0時)以降に申請(新規・更新)の受付分より、
新しい中間CA証明書に変更となりました。

2013年12月6日以降にお申込みいただきました際には、
新しい中間CA証明書をインストールしていただきますように
お願い申し上げます。

新しい中間CA証明書は下記にてダウンロードできます。
http://ssl-process.com/support/intermediate.php

■変更理由

システムのメンテナビリティを向上のため、
シマンテックグループ全体のプラットフォーム統合の取り組みを行っておりま
す。この取り組みの一環として、トゥルービジネスIDを発行するための認証局の
鍵ペアを再作成することとなり、これに伴って中間認証局証明書を変更すること
となりました。

■既存の証明書も新しい中間CA証明書に変更する必要がありますか?

いいえ、変更する必要はありません。
2013年12月5日以前に申請した証明書は中間CA証明書を変更する必要はありませ
ん。(旧)中間CA証明書を有効期限の終了日までそのまま問題なくご利用いただ
けます。

■PCブラウザ対応率、携帯電話対応率に影響がありますか?

変更前後の中間認証局証明書に関して、公開鍵長やハッシュ関数の変更はござい
ません。またルート証明書およびクロスルート設定用証明書 (二階層目)の変更
はございません。
従いまして対象製品のブラウザ・携帯電話の対応率などへの影響はございません。

« 前ページへ
次ページへ »