2016年4月のマイクロソフト社のルート証明書情報更新の影響と対策に関するご案内(続報)

Alerts ID:    ALERT2009    Updated:    04/26/2016

Severity

Information

Description

2016年4月25日

お客様各位

合同会社シマンテック・ウェブサイトセキュリティ


2016年4月のマイクロソフト社のルート証明書情報更新の影響と対策に関するご案内(続報)


さる2016年3月28日のご案内「2016年4月のマイクロソフト社のルート証明書情報更新の影響と対策に関するご案内」について、マイクロソフト社より、ルート証明書更新情報の配信対象プラットフォームならびに配信実施日時について続報が公開されましたのでご案内申し上げます。

お客様のサーバでクロスルート設定用証明書による「クロスルート設定」を利用されている場合に、クライアント側のWindows OS のルート証明書ストアの状態によって警告/エラー等が発生する環境は「Windows 10 のみ」に限定されます。配信実施日時および詳細は下記をご参照ください。

なお、既にウェブサーバで「クロスルート設定」を解除されているお客様におかれましては、事象の発生、サーバ側のご対応の必要はございません。

弊社では、引続きサービス向上に努めてまいりますので、今後ともご愛顧を賜りますようお願い申し上げます。


1. マイクロソフト社のルート証明書情報の更新について

1-1. 配信開始日時(予定)

変更前 : 2016年4月19日(火)または20日(水)(日本時間) (米国時間2016年4月19日(火))
変更後 : 2016年4月26日(火)または27日(水)(日本時間) (米国時間2016年4月26日(火))

1-2. ルート証明書更新情報 概要(予定)

変更前 : Windows OS(Windows Vista~Windows 10)
変更後 : Windows 10

  • 内容 (再掲)
    SSLサーバ証明書に利用されるルート証明書「Class 3 Public Primary  Certification Authority」(通称G1ルート証明書)のWindows上のプロパティ[証明書の利用目的]から「サーバー認証」をOFF(信頼停止)とする。
    (参照:補足資料 p.7)
     
  • マイクロソフト社関連情報
    Microsoft Trusted Root Certificate Program Updates
    http://aka.ms/rootupdates

2. 警告/エラー事象について (一部更新)

2-1. 概要 (一部更新) ※ 影響範囲がWindows 10に限定される旨を反映

シマンテック SSLサーバ証明書を利用してSSL/TLS通信を行った際に、以下の条件に全て該当する場合、Windows 10上で動作するInternet ExplorerやGoogleChrome等、一部のブラウザにて「このWebサイトのセキュリティ証明書には問題があります」等のエラー画面が表示され、正しくHTTPS接続ができない事象が発生します。
(参照:補足資料 p.3)

2-2. 発生条件 (一部更新) ※ 影響範囲がWindows 10に限定される旨を反映

以下の条件をすべて満たす場合、警告/エラー事象が発生します。
(参照:補足資料 p.4-9)

■条件1■

お客様のサーバでシマンテックの下記SSLサーバ証明書のいずれかの製品を「クロスルート設定」ありで導入している場合

  • シマンテック EV SSL証明書
  • シマンテック グローバル・サーバID
  • シマンテック セキュア・サーバID

※以下のFAQに記載の方法にてクロスルート設定の有無を判別いただけます。

FAQ : インストールした証明書の確認方法(チェックサイトでの確認方法)
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO22875

■条件2■

クライアント環境が以下のいずれかのOSとブラウザの組み合わせを含む場合

  • OS : Windows 10
  • ブラウザ : Internet Explorer, Microsoft Edge Browser, Google Chrome, Opera

※ Windows 8.1以前のクライアント環境は対象外です。
※ Windows 10上で動作するMozilla社Firefoxは対象外です。(独自のルート証明書ストア機構を採用しているため)
※上記の組み合わせ以外にも、サーバ間通信を行うWindows Server、Windows Phone等のモバイル機器や業務端末等、Windows 10と同世代のOSのルート証明書ストアを利用する各種ミドルウェア/ソフトウェアも対象となる可能性があります。お客様にてご利用中のプラットフォームが対象となるか否かの詳細についてはマイクロソフト社へお問合せください。

■条件3■

クライアント環境のルート証明書ストア(Windows Trusted Root Store)に、G5ルート証明書(*1)が含まれていないこと
*1 「VeriSign Class 3 Public Primary Certification Authority - G5」

■条件4■

マイクロソフト社のルート証明書更新情報が配信されることによりクライアント環境のルート証明書ストアに搭載されているG1ルート証明書(*2)のWindows上のプロパティ「サーバー認証」がOFF(信頼停止)とされた状態となること
*2 「Class 3 Public Primary Certification Authority」
 

2-3. 回避方法 (再掲)

2-3-1. サーバ側の回避方法

サーバ側でクロスルート設定用証明書を削除していただくことで、当事象を回避できることが確認されております。
(参照:補足資料 p.10-11)
 
FAQ : クロスルート設定用証明書の削除方法
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO28077
 
※ご注意ください
クロスルート設定用証明書を削除する前に、以下の記事をご参照いただき、クロスルートを継続して利用いただく必要があるか否かをご確認ください。

FAQ : クロスルート設定用証明書の設定について、どのような対応が必要でしょうか?
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO28069

サポート対象クライアントにWindows 2000, Windows MEあるいはこれ以前のレガシープラットフォーム、または従来型の携帯電話等、G5ルート証明書が搭載されていない環境が含まれる場合、クロスルート設定用証明書を削除
いただくことで、こうした環境で警告/エラーが表示される場合がありますので、必要に応じて、事前に該当のエンドユーザへの告知等を行っていただいた上で、設定を解除いただくことを推奨いたします。

シマンテックでは、以下のウェブページにご利用いただける情報を継続的に追加掲載させていただく予定です。

HTTPS接続時のエラー事象と回避策について
http://www.symantec.com/ja/jp/page.jsp?id=ssl-connection-avoidance
 

2-3-2.クライアント環境での回避方法

クライアント環境でG5ルートをルート証明書ストアにインストールいただくことで、当該警告/エラー事象を回避できることが確認されております。
(参照:補足資料 p.10,12)
 
HTTPS接続時のエラー事象と回避策について
http://www.symantec.com/ja/jp/page.jsp?id=ssl-connection-avoidance


3. 補足資料ならびに参考情報


[補足資料] 2016年4月(予定)のマイクロソフト社のルート証明書情報更新の影響と対策に関するご案内について (一部更新) ※ 影響範囲がWindows 10に限定される旨を反映
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=ALERT2009#attachment

クロスルート証明書ご提供方法変更のご案内(続報)(2015年6月)
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=ALERT1974


4. 最新情報について (再掲)


下記のサイトに今後の最新情報を掲載いたしますのでご参照ください。

2016年4月(予定)のマイクロソフト社のルート証明書情報更新の影響と対策に関するご案内
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=ALERT2009

以上

 

2016年4月20日

お客様各位

本日、マイクロソフト社より、日本時間4月19日または4月20日に予定されていたルート証明書情報の更新を延期する旨の通知を受領いたしました。
延期後の実施日時などの詳細は、マイクロソフト社より情報を得られ次第、追加でご案内させていただきます。

以上

 

2016年3月25日

お客様各位

合同会社シマンテック・ウェブサイトセキュリティ


[クロスルート設定用証明書をご利用中のお客様へ]
2016年4月(予定)のマイクロソフト社のルート証明書情報更新の影響と対策に関するご案内


このたび、弊社はマイクロソフト社より、2016年4月19日(米国時間)(予定)にWindows OSに対するルート証明書情報の更新を行い、シマンテックのG1ルート証明書*1のプロパティの「利用目的」から「サーバー認証」をOFF (信頼停止)とする予定である旨の通知を受領しました。

お客様のサーバでクロスルート設定用証明書による「クロスルート設定」を利用されている場合、クライアント側のWindows OSルート証明書ストアの状態によって、シマンテックのG1ルート証明書がSSLサーバ証明書の正当性を検証する目的で利用される場合があります。今回、同等の条件を満たす環境において、上記の更新情報が配信されることで警告/エラー画面が表示される事象等が発生することが判明しておりますのでご案内申し上げます。

警告/エラー等の発生条件ならびに回避方法につきましては、下記、ならびに補足資料をご参照ください。3月28日付でメールでもご案内させていただく予定でございます。

なお、既にウェブサーバで「クロスルート設定」を解除されているお客様におかれましては、事象の発生、サーバ側のご対応の必要はございません。
弊社では、公開鍵暗号におけるRSA2048bit等新しい暗号技術への移行の一環として、「クロスルート設定」のご利用を原則非推奨とさせていただいておりますが、改めてお客様のご利用環境におけるクロスルート設定の有無、および設定要否をご確認いただければ幸いです。

 *1 Class 3 Public Primary Certification Authority (G1ルート証明書)

弊社では、引続きサービス向上に努めてまいりますので、今後ともご愛顧を賜りますようお願い申し上げます。


1. 対象となるお客様

以下の条件1, 2の両方に該当するお客様は、本ご案内の対象となりますので、項番2以降をご確認の上、必要な対策を実施いただくことを推奨いたします。

以下の条件1, 2の一方、または両方に該当しないお客様は、本ご案内の対象外となります。

■条件1■

お客様のサーバでシマンテックの下記SSLサーバ証明書のいずれかの製品を「クロスルート設定」で導入している場合   

  • シマンテック EV SSL証明書
  • シマンテック グローバル・サーバID
  • シマンテック セキュア・サーバID
     

参考)下記の手順にてクロスルート設定の有無を判別いただけます。
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO22875


■条件2■

クライアント環境が以下のいずれかのOSとブラウザの組み合わせを含む場合(※)

  • OS : Windows OS (Windows Vista~Windows 10)
  • ブラウザ : Internet Explorer, Microsoft Edge Browser, Google Chrome, Opera

※ 上記の組み合わせ以外にも、サーバ間通信を行うWindows Server、Windows Phone等のモバイル機器や業務端末等、Windows OS上のルート証明書ストアを利用する各種ミドルウェア/ソフトウェアも対象となる可能性があります。お客様にてご利用中のプラットフォームが対象となるか否かの詳細についてはマイクロソフト社へお問合せください。        

 ※ Windows OS以外のクライアント環境は対象外です。

 ※ Windows OS上で動作するMozilla社Firefoxは対象外です。(独自のルート証明書ストアを採用しています)


2. マイクロソフト社のルート証明書情報の更新(予定)について

2-1.配信開始日時(予定)

2016年4月19日(火) 米国時間
2016年4月19日(火) または20日(水)日本時間
 

2-2.ルート証明書情報の更新内容

Windows OSに対するルート証明書更新情報において、SSLサーバ証明書に利用されるG1ルート証明書*1のWindows上のプロパティ[証明書の利用目的]から「サーバー認証」をOFF(信頼停止)とする。

*1「Class 3 Public Primary Certification Authority」

参考)マイクロソフト社関連情報
Microsoft Trusted Root Certificate Program Updates
http://aka.ms/rootupdates


3. 警告/エラー事象について

3-1. 概要

シマンテック SSLサーバ証明書を利用してSSL/TLS通信を行った際に、以下の条件に全て該当する場合、Windows OS上で動作するInternet ExplorerやGoogle Chrome等のブラウザやクライアント環境にて「このWebサイトのセキュリティ証明書には問題があります」等のエラー画面が表示され、正しくHTTPS接続ができない事象が発生します。
 

3-2. 発生条件

以下の条件をすべて満たす場合、警告/エラー事象が発生します。

  • 条件1 : 項番1の条件1で運用しているサイトにアクセスする場合
  • 条件2 : 項番1の条件2のクライアント環境からアクセスする場合
  • 条件3 : クライアント環境のルート証明書ストア(Windows Trusted Root Store)に、G5ルート証明書*2が含まれていない場合
         *2「VeriSign Class 3 Public Primary Certification Authority - G5」
  • 条件4 : マイクロソフト社のルート証明書更新情報が配信されることによりクライアント環境のルート証明書ストアに搭載されているG1ルート証明書
         *1のWindows上のプロパティ「サーバー認証」がOFF(信頼停止)とされた状態となること
     

3-3. 回避方法

3-3-1. サーバ側の回避方法

サーバ側でクロスルート設定用証明書を削除していただくことで、当事象を回避できることが確認されております。

参考)クロスルート設定用証明書の削除方法
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO28077

※ ご注意ください ※
クロスルート設定用証明書を削除する前に、以下の記事をご参照いただき、クロスルート設定を継続する必要があるか否かをご確認ください。
 
FAQ : クロスルート設定用証明書の設定について、どのような対応が必要でしょうか?
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO28069

サポート対象クライアントにWindows 2000, Windows MEあるいはこれ以前のレガシープラットフォーム、または従来型の携帯電話等、G5ルート証明書が搭載されていない環境が含まれる場合、クロスルート設定用証明書を削除すると警告/エラーが表示される場合があります。必要に応じて、事前に該当のエンドユーザへの告知等を行っていただいた上で設定を解除いただくことを推奨いたします。
 

3-3-2.クライアント環境での回避方法

クライアント環境でG5ルートをルート証明書ストアにインストールいただくことで、当該警告/エラー事象を回避できることが確認されております。
 
参考)SSL接続エラーの回避方法について
http://www.symantec.com/ja/jp/page.jsp?id=ssl-connection-avoidance&tab=secTab1


4. 補足資料ならびに参考情報

■下記補足資料に、当ご案内の内容をより詳しく解説しています。
[補足資料] 2016年4月(予定)のマイクロソフト社のルート証明書情報更新の影響と対策に関するご案内について
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=ALERT2009#attachment


■クライアント利用者(エンドユーザ向け)のページを公開しています。
エンドユーザ様向けの告知にご利用ください。

[エンドユーザ様向け] SSL接続エラーの回避方法について
http://www.symantec.com/ja/jp/page.jsp?id=ssl-connection-avoidance&tab=secTab1

[エンドユーザ様向け] HTTPS接続時エラー:クライアント端末設定内容 チェックリスト
http://www.symantec.com/ja/jp/page.jsp?id=ssl-connection-avoidance&tab=secTab2


■クロスルート設定クロスルート設定要否をご判断いただくための携帯電話
対応リストや、参考情報、過去のご案内を公開しています。
 
クロスルート設定用証明書の設定について、どのような対応が必要でしょうか?
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO28069

クロスルート証明書ご提供方法変更のご案内(続報)(2015年6月)
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=ALERT1974


5. 本件に関するお問合せ先

合同会社シマンテック・ウェブサイトセキュリティ カスタマーサポート
Email : server_info_jp@symantec.com
電話 : 03-5114-4135(音声ガイダンス後、2番を選択してください)
(平日9時30分~17時30分、ただし祝祭日および年末年始を除く)

以上

 

 

Attachment

[補足資料] 2016年4月(予定)のマイクロソフト社のルート証明書情報更新の影響と対策に関するご案内について(4月26日).pdf
942K • 3 minute(s) @ 56k, < 1 minute @ broadband


Attachment Description

[補足資料] Microsoft社 Windows OS上での1024bitRSAルートに対する「信頼停止」措置に伴う警告/エラーの対処方法について