クロスルート設定用証明書の設定について、どのような対応が必要でしょうか?

Solution ID:    SO28069    Updated:    03/27/2016

Problem

管理・運営しているウェブサーバで、クロスルート設定用証明書の設定についてどのような対応が必要なのでしょうか?

Solution

以下のステップで、お客様のウェブサーバにおいてクロスルート設定用証明書の設定に対する対応が必要か否かと、その内容についてご確認ください。

Step1:お客様のウェブサーバにおけるクロスルート設定用証明書の設定要否の確認


クロスルート設定用証明書の設定は、お客様のウェブサーバの環境が以下の条件に当てはまる場合にのみ限定して推奨されます。
条件にあてはまらない場合は、設定を推奨いたしません。

<クロスルート設定用証明書の設定が推奨される条件>

  • POSやATMなどの業務端末や機器、OA機器や家電、従来型の携帯電話など、新しい暗号技術 (*1) に対応したルート証明書 (*2) が搭載されていないクライアント環境からのアクセスを想定している場合
    • 上記のような環境は、PCやスマートフォンのブラウザに比べ、耐用年数が長くアップデートが容易でないため、新しい暗号技術 (*1) に対応したルート証明書 (*2) が搭載されていない場合があります。新しいルート証明書は搭載されていないが、古くから普及するルート証明書は搭載されている場合、ウェブサーバ側にSSLサーバ証明書と併せてクロスルート証明書を設定することによって、こうしたクライアント環境との接続が可能となります。
       
    • 不特定多数のユーザから、PCブラウザを含む不特定のクライアント環境からのアクセスを想定している場合は、クロスルート証明書の設定は推奨されません。こうしたクライアント環境では、頻繁なアップデートの適用により、クロスルート証明書ならびに古くから普及するルート証明書 (*2) が利用不可となる可能性があるためです。
       
(*1) 公開鍵暗号におけるRSA2048bit、デジタル署名におけるSHA-2アルゴリズム等を指します。
(*2) シマンテックのSSLサーバ証明書製品(全製品共通)における「新しい暗号技術に対応したルート証明書」ならびに
   「古くから普及するルート証明書」とは、以下のルート証明書を指します。
  • 新しい暗号技術に対応したルート証明書「VeriSign Class 3 Public Primary Certification Authority - G5」
  • 古くから普及するルート証明書:「Class 3 Public Primary Certification Authority」
     
各ルート証明書の詳細は弊社ウェブサイトをご確認ください。

シマンテック・ウェブサイトセキュリティ デベロッパープログラム
https://www.jp.websecurity.symantec.com/developer/step01.html

各SSLサーバ証明書製品で利用するルート証明書につきましては、以下の資料を併せてご参照ください。

シマンテック - 証明書製品階層構造図
https://www.jp.websecurity.symantec.com/repository/hierarchy/hierarchy.pdf
 

Step2:現状でのお客様のウェブサーバにおけるクロスルート設定用証明書の設定の有無の確認


当社の「SSL Cryptoreport」等をご利用いただき、お客様のウェブサーバにクロスルート証明書が設定されているか否かをご確認いただくことが可能です。

以下のサイトへアクセスし、コモンネームを入力して「Check」をクリックしてください。
下図のように「VeriSign Class 3 Public Primary Certification Authority - G5」が、Intermediate certificateとして確認できる場合は、クロスルート証明書が適用されています。

Step3:必要な対応の確認


Step1、Step2 の結果を踏まえて以下の表1:チェックシートに照らしていただき、お客様のウェブサーバにおけるクロスルート証明書の設定に対するアクションの要否とその内容をご確認ください。
 
表1:チェックシート クロスルート設定用証明書の設定に対する対応の要否と内容
 
Step2の確認結果
現状でのお客様のウェブサーバにおけるクロスルート設定証明書の設定の有無
設定している 設定していない
Step1の確認結果

お客様のウェブサーバにおけるクロスルート設定用証明書の設定要否
 
必要である  
 お客様のウェブサーバの
 クロスルート設定用証明書の
 設定状況は適切であり、
 変更の必要はありません。

 お客様のウェブサーバに
 クロスルート設定用証明書を
 追加設定いただくことを
 推奨いたします。 
 FAQ
 クロスルート設定用証明書の追加方法
 
必要でない
 お客様のウェブサーバから
 クロスルート設定用証明書を削除
 していただくことを推奨いたします。
 FAQ
 クロスルート設定用証明書の削除方法
 

 お客様のウェブサーバの
 クロスルート設定用証明書の
 設定状況は適切であり、
 変更の必要はありません。

Attachment

list_symc_ver201503_rev.1_wo cross.pdf
191K • < 1 minute @ 56k, < 1 minute @ broadband


Attachment Description

参考:クロスルート設定有無による携帯電話等対応リスト

Find Answers