【続報】【重要】マネージドCA対応に伴うSSLサーバ証明書製品ならびに申請システム等における仕様変更などのご案内

Alerts ID:    ALERT2446    Updated:    11/30/2017

Severity

Information

Description

2017年11月17日

お客様各位

デジサート・ジャパン合同会社


【続報】【重要】マネージドCA対応に伴うSSLサーバ証明書製品ならびに申請システム等における仕様変更などのご案内


平素より弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

さる2017年10月27日にご案内の「【重要】マネージドCA対応に伴うSSLサーバ証明書製品ならびに申請システム等における仕様変更などのご案内」について、適用予定日が確定いたしましたので、ご案内申し上げます。
また、前回ご案内の内容の一部(ルート証明書ならびに中間CA証明書についてなど)に変更がございますので、併せてご案内を申し上げます。
詳細につきましては下記をご覧ください。

弊社では引き続きサービスの向上に努めてまいりますので、今後ともご愛顧を賜りますよう、お願い申し上げます。



1. 【適用予定日確定】証明書製品仕様の変更適用予定日


前回のご案内内容 : 2017年 11月下旬

新たなご案内内容 : 2017年 12月 1日(金) 10:00(日本時間)

※ 本件に伴い以下の対象システムにおいてシステム停止を伴うメンテナンスを予定しております。メンテナンス中においても発行済みのSSLサーバ証明書への影響はございません。

・メンテナンス時間 : 2017年 11月 30日(木)20:00 ~ 12月 1日(金) 10:00 (日本時間)

※ 弊社都合により変更する場合、改めてご案内申し上げます。


2. 【前回ご案内内容からの変更】ルート証明書ならびに中間CA証明書について

2-1. 背景

2017年10月31日(米国時間)、DigiCert社はシマンテックのウェブサイトセキュリティ事業とその関連するPKIソリューションの買収手続きを完了し、SSL/TLSおよびPKIソリューションのトッププロバイダとなりました。
これを受けて、Managed CA対応後の新しいインフラから発行するSSLサーバ証明書がチェーンする中間証明書ならびにルート証明書について、お客様により高いルート証明書普及率や利用実績などのメリットをご享受いただけることなどを踏まえ、下記の通り内容を変更させていただくこととなりました
のでご案内申し上げます。
 

2-2. 前回ご案内内容からの変更点

前回のご案内内容(抜粋) : 「Managed CAへの移行後の新しいインフラでは、新たなルート認証局ならびに中間認証局を構築いたします。」

新たなご案内内容 : Managed CAへの移行後の新しいインフラから発行するSSLサーバ証明書は、既にブラウザやスマートフォンに広く普及する下記のデジサートのルート証明書にチェーンする階層構造となります。

<EV SSL証明書向け ルート証明書>

  • DigiCert High Assurance EV Root CA
     

<企業認証(OV)証明書向け ルート証明書>

  • DigiCert Global Root CA
     

新しいルートおよび中間CA証明書の階層構造につきましては以下をご参照ください。Managed CAへの移行後の各製品別の中間証明書ならびにルート証明書は下記のページからダウンロードいただけます。

[ルート/中間の階層構造について(詳細)]
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=INFO4697

また、携帯電話(フィーチャフォン)からの接続性をカバーする必要があるウェブサイトでは、携帯電話にも組み込まれた下記のデジサートのルート証明書との接続を可能にするクロスルート証明書を併せてご提供いたします。

  • Baltimore CyberTrust Root
     

クロスルート証明書の詳細につきましては以下をご参照ください。

[Managed CA対応リリース後のクロスルートについて]
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=INFO4700

※ 新しい階層構造のイメージ図やクライアント対応状況などの詳細につきましては、以下補足資料のpage7~12を併せてご参照ください。

[補足資料] 「Managed CA対応」における製品仕様変更点について
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=ALERT2446#attachment

※ Managed CAへの移行後に提供する上記のクロスルート証明書は、現時点でご提供中のクロスルート証明書とは異なるものです。既にクロスルート証明書をご利用されており今後も継続してご利用をご希望の場合も、Managed CA対応後に発行するSSLサーバ証明書をインストールする際には
新しい中間証明書と併せて新しいクロスルート証明書を入手しインストールしてください。

※ すでに発行済みのSSLサーバ証明書をご利用中は、従来の中間証明書をご利用ください。


3. 【前回ご案内内容への追加】ECCならびにマルチドメイン(SANs)のご申請プロセスについて

3-1. ECC対応版証明書の取得プロセスについて

ECC対応版SSLサーバ証明書はManaged CA対応後も引き続き取得いただけますが、申請プロセスが一部変更となります。変更後のECC対応版SSLサーバ証明書の取得方法は以下の弊社Knowledge Baseで順次ご案内いたします。

[ECC証明書の取得方法]
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO29710

3-2. マルチドメイン(SANs)対応版証明書の取得プロセスについて

マルチドメイン(SANs)対応版SSLサーバ証明書はManaged CA対応後も引き続き取得いただけますが、申請プロセスが一部変更となります。変更後のマルチドメイン(SANs)対応版SSLサーバ証明書の取得方法は以下の弊社KnowledgeBaseでご案内いたします。

[マルチドメイン機能(SANs)の申請方法について]
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO23158


4. (ご参考) 前回ご案内の内容


前回ご案内の内容につきましては下記のURLをご参照ください。

「【重要】マネージドCA対応に伴うSSLサーバ証明書製品ならびに申請システム等における仕様変更などのご案内」
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=ALERT2446


5.本件に関するお問合せ先


合同会社シマンテック・ウェブサイトセキュリティ

認証に関するお問い合わせ
Email:auth_support_japan@symantec.com
電話:03-5114-4135(自動音声ガイダンス1)
受付時間:土日祝日および年末年始を除く平日 9:30 - 17:30

テクニカルサポート
Email:server_info_jp@symantec.com
電話:03-5114-4135(自動音声ガイダンス2)
受付時間:土日祝日および年末年始を除く平日 9:30 - 17:30

営業窓口
Email:dl-vsj-websales@symantec.com
電話:03-5114-4135(自動音声ガイダンス3)
受付時間:土日祝日および年末年始を除く平日 9:30 - 17:30

                                                                    以上

------------------------------------------------------------------------
発行 : 合同会社シマンテック・ウェブサイトセキュリティ
------------------------------------------------------------------------
 



2017年 11月 9日追記

本ページでご案内しておりますマネージドCAのルート証明書、中間CA証明書、クロスルート証明書は今後変更が予定されております。
変更後の新たなルート証明書、中間CA証明書、クロスルート証明書は、近日中に改めてすべてのお客様へご案内申し上げます。
弊社では、引き続きサービスの向上に努めてまいりますので、今後ともご愛顧を賜りますよう、お願い申し上げます。

 


 

 

2017年 10月 27日

 

お客様各位

合同会社シマンテック・ウェブサイトセキュリティ


  【重要】マネージドCA対応に伴うSSLサーバ証明書製品ならびに申請システム等における仕様変更などのご案内

 

平素より弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

このたび弊社では、SSLサーバ証明書製品の認証業務をDigiCert社とのパートナーシップに基づいて統合し認証レベルをより一層強化すると共に、SSLサーバ証明書を発行するためのPKIインフラを刷新し、ブラウザーコミュニティによる要求を満たすことでGoogle Chrome等の警告表示によるお客様への影響を回避することを目的とするSSLサーバ証明書ならびに申請システムの仕様変更を実施させていただくこととなりましたので、ご案内申し上げます。

詳細につきましては下記をご覧ください。

弊社では引き続きサービスの向上に努めてまいりますので、今後ともご愛顧を賜りますよう、お願い申し上げます。

 


1. 変更適用予定日


2017年11月下旬

※ 日程を確定次第、別途ご案内いたします。

 

2. 変更の背景


(補足資料のpage3-6を併せてご参照ください)

さる2017年6月5日付けのレター「Symantec Website Securityからの重要なお知らせ」等でご案内の通り、弊社ではブラウザーコミュニティによる提案への対応の検討を行ってまいりました。この中で示唆されたGoogle Chromeによる警告表示などの問題によるお客様のウェブサイトの継続性への影響を回避する目的で、DigiCert社とのパートナーシップに基づく認証業務の統合、ならびに新しいPKIインフラへの移行を行うことを決定いたしました。
(以下、統合後の認証業務モデルならびに移行後の新しいインフラを総称し「Managed CA」と呼びます)

以下にご案内する証明書製品ならびに申請システムの各種仕様変更は、この一連のManaged CAへの移行の取組みの一環として実施させていただくものです。

Managed CAへの移行ならびに各種仕様変更の概要については以下の補足資料を合わせてご参照・ご活用ください。

[補足資料] 「Managed CA対応」における製品仕様変更点について
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=ALERT2446#attachment

Google Chromeによる警告表示と回避方法の詳細についてはこちらをご参照ください。
[シマンテック ブログ]Symantec SSL/TLSサーバ証明書の入れ替えに関する情報について
https://www.symantec.com/connect/blogs/symantec-ssltls


3. 証明書製品仕様の変更について


(補足資料のpage7-12を併せてご参照ください)

3-1. 対象システム

シマンテック ストアフロント

3-2. 対象製品

対象システムから発行する全てのSSLサーバ証明書製品
※ セーフサイト、コードサイニング証明書、セキュアメールIDを除きます

3-3. 変更内容

3-3-1. ルート証明書ならびに中間CA証明書の変更

Managed CAへの移行後の新しいインフラでは、新たなルート認証局ならびに  中間認証局を構築いたします。ここから発行されるSSLサーバ証明書は、この新しいルート証明書ならびに中間証明書によって検証されます。
また、各種ブラウザ、スマートフォンや携帯端末などとの接続性を維持する目的で、従来より普及するルート証明書にチェーンするクロスルート証明書を提供します。
Managed CAへの移行後の新しいSSLサーバ証明書をサーバにインストールする際には、新しい中間証明書ならびにクロスルート証明書の両方をインストールください。

新しいルートおよび中間CA証明書の階層構造につきましては以下をご参照ください。

[ルート/中間の階層構造について - Part1]
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=INFO4596

[ルート/中間の階層構造について - Part2 (詳細)]
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=INFO4597

※すでに発行済みのサーバ証明書をご利用中は、従来の中間CA証明書をご利用ください。

3-3-2. SSLサーバ証明書のプロファイル変更

Managed CAへの移行後の新しいSSLサーバ証明書では、証明書プロファイルに以下の変更が適用されます。

  • Subject Key Identifier (サブジェクトキー識別子) : フィールドを追加
  • Certificate Policies (証明書ポリシー) : ポリシー参照URL変更、他
  • Signed Certificate Timestamp : 「登録なし」の場合にSCTを含まない
     

変更内容の詳細につきましてはこちらをご覧下さい。

[Managed CA対応リリース後の証明書階層構造における証明書プロファイルの変更について]
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=INFO4648

3-3-3. OCSPおよびCDPの変更

Managed CAへの移行後の新しいSSLサーバ証明書では、OCSP(オンライン証明書ステータスプロトコル)レスポンダならびにCDP(CRL(証明書失効リスト)配布ポイント)が変更されます。

変更内容の詳細につきましてはこちらをご覧下さい。

[Managed CA対応リリース後のTLS/SSL証明書の OCSPおよびCRLについて]
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=INFO4647

3-3-4. その他の変更

Managed CAへの移行後の新しいSSLサーバ証明書製品では、上記の点と併せて以下の変更が適用されます。

  • アルゴリズムオプション「DSA」の提供終了:
    SSLサーバ証明書のマルチアルゴリズム機能のうち、署名アルゴリズムDSAを用いたオプションの提供を終了いたします。
  • CT(Certificate Transparency)における「CTへ登録する情報の一部を非公開 (Name Redaction)とする」オプションの提供終了:
    SSLサーバ証明書の申請時に「CTへ登録する情報の一部を非公開(Name Redaction)とする」はご選択いただけなくなります。
    Managed CAへの移行後は、CTログサーバへ登録については「登録する」選択時のみ、CTへ登録いたします。
  • シールインサーチの一部サービスの終了:
    iLunascapeおよびSleipnir各ブラウザ上でのシールインサーチ表示を終了させていただきます。
    ※ iLunascapeおよびSleipnir各提供事業者との契約満了に伴うサービス終了となります。


4. 申請システム(ストアフロント)の仕様変更について


(補足資料のpage13-14を併せてご参照ください)

4-1. エクスプレスサービスの提供終了ならびに関連製品の販売終了について

4-1-1. 対象システム

シマンテック ストアフロント

4-1-2. 販売終了対象製品

  • エクスプレス・オプション
  • グローバル・サーバIDエクスプレスプレミアム
     

4-1-3. 変更内容ならびに背景

「エクスプレス・オプション」等に付帯されるエクスプレスサービスとは、サーバID(EV SSL証明書を除く)を緊急で取得する必要があるお客様向けの有償オプションサービスとしてこれまでご提供して参りました。
この度、認証業務の統合に伴い、当サービスの提供を終了させていただきます。また、合わせて同サービス関連製品である上述の製品、オプションの販売を終了させていただきます。

4-2. 再発行時のアルゴリズムオプション変更機能について

4-2-1. 対象システム

シマンテック ストアフロント

4-2-2. 対象製品

  • グローバル・サーバID EV
  • グローバル・サーバID
     

4-2-3. 変更内容

これまでエンドユーザーポータルにおける再発行機能を用いて、有効な対象製品をご利用中のお客様はアルゴリズムオプションを変更(例:RSA⇒ECC)いただくことが可能でした。
この度、新しいPKIインフラへの移行に伴い、エンドユーザポータル上でアルゴリズムオプションを変更して再発行いただく機能はご利用いただけなくなります。
   
※アルゴリズムオプションの変更を伴わない再発行は引き続きご利用いただけます。


5.本件に関するお問合せ先


合同会社シマンテック・ウェブサイトセキュリティ

認証に関するお問い合わせ
Email:auth_support_japan@symantec.com
電話:03-5114-4135(自動音声ガイダンス1)
受付時間:土日祝日および年末年始を除く平日 9:30 - 17:30

テクニカルサポート
Email:server_info_jp@symantec.com
電話:03-5114-4135(自動音声ガイダンス2)
受付時間:土日祝日および年末年始を除く平日 9:30 - 17:30

営業窓口
Email:dl-vsj-websales@symantec.com
電話:03-5114-4135(自動音声ガイダンス3)
受付時間:土日祝日および年末年始を除く平日 9:30 - 17:30

                                                                    以上

------------------------------------------------------------------------
発行 : 合同会社シマンテック・ウェブサイトセキュリティ
-----------------------------------------------------------------------

Attachment

Symantec技術担当者様向け_ManagedCAサマリ(11月16日時点).pdf
660K • 2 minute(s) @ 56k, < 1 minute @ broadband


Find Answers