シマンテックのSSL/TLS サーバ証明書の
入れ替えについて

シマンテック、GeoTrust、RapidSSLのSSL/TLSサーバ証明書に関して

目次

Step 1

Step1:いつまでに対応するのか

対象となる証明書を入れ替える計画の立案

Step 2

Step2:何を準備すればいいのか

証明書の再発行に伴ったドメイン名と組織の検証

Step 3

Step3:手続きを行う

シマンテック(およびGeoTrust、RapidSSL)SSL/TLSサーバ証明書の再発行と入れ替え

2017年7月末、Google Chromeはシマンテック、GeoTrust、RapidSSLが発行したSSL/TLSサーバ証明書の信頼を段階的に削減する(セキュリティ警告をChromeブラウザに表示)計画を発表しました。その中でGoogleは3つの主要な日付を示しました。
2017年12月1日、2018年3月15日
(Chrome66β版のリリース日、安定版のリリースは4月17日予定)そして2018年9月13日(Chrome70β版のリリース日)です。

最初の日付、2017年12月1日はお客様からのアクションを必要としないものです。しかし2018年の2つの日付までには再発行した証明書をサーバへ入れ替えていただく必要があります。Google Chromeブラウザのセキュリティ警告を回避するために必要な処置となります。この日付とChromeの計画の詳細については、当社のブログをご覧ください

新しい信頼のチェーン

デジサートはシマンテックの証明書事業部門が発行した警告対象のSSL/TLSサーバ証明書の再認証と再発行を無償で行なっています。
これにはシマンテック、GeoTrust、RapidSSLブランドの証明書が含まれます。
今後、すべての新規および再発行のSSL/TLS サーバ証明書はデジサートの認証方法によって(弊社のルート証明書を使用して)発行され
Google Chromeの信任を得ることができるようになります。
つまり、デジサートによって発行し直された新たな証明書チェーンは、どのブラウザでも暗号通信を行う証明書として利用することができます。

Step 1:いつまでに対応するのか - 対象となる証明書を入れ替える計画の立案 -

SSL/TLSサーバ証明書に関するGoogle Chromeブラウザのセキュリティ警告を回避するために、旧シマンテックのSSL/TLSサーバ証明書を期日前までに再発行(または更新)してください。証明書がGoogle Chromeの警告の対象であるかはこちらのサイトで確認ができます。

期日:2018年3月15日または2018年9月13日(元の証明書の発行時期に依ります)。証明書の発行とインストールに十分な時間を持てるようご計画ください。

入れ替える証明書の再発行に費用は発生しません。

デジサートは該当するすべての証明書を無償で再発行いたします。また、新しいアカウント/管理画面に切り替える必要はありません。
現在ご利用中のシマンテックアカウントからSSL/TLSサーバ証明書の再発行と更新申請が可能です。

2018年3月15日

2018年3月15日にリリースされたChrome 66ベータ版では、2016年6月1日より前に発行されたシマンテックのSSL/TLS証明書の信頼が無効となります。
Chrome66安定版は2018年4月17日にリリースされる予定です。

対処:お客様のSSL/TLSサーバ証明書が2016年6月1日より前に発行され、有効期限が2018年3月15日を超える場合、
Chrome66の安定版がリリースされる2018年4月17日より前に証明書を再発行または更新を行ってください。

該当する証明書をお持ちであればStep3の手順に沿って、本日より速やかにご対応をお願いいたします。
証明書の発行前に弊社はドメイン名および、組織の検証をいたします。
また、新しい証明書をインストールする時間の余裕を持った申請をお願いします。

2018年9月13日

2018年9月13日頃にリリース予定のChrome 70ベータ版では、2016年6月1日以降に発行されたシマンテック、GeoTrustのSSL/TLSサーバ証明書はすべて信頼が無効になります。Chrome70安定版は2018年10月中頃にリリースされる予定です。

対処:お客様のSSL/TLS証明書が2016年6月1日以降(かつ2017年12月1日より前)に発行され、有効期限が2018年9月13日を越える場合、
2018年9月13日より前に証明書を再発行または更新を行ってください。

該当する証明書をお持ちであればStep3の手順に沿って、本日より速やかにご対応をお願いいたします。
証明書の発行前に当社はドメイン名および、組織の検証をいたします。
また、新しい証明書をインストールする時間の余裕を持った申請をお願いします。

Step 2:何を準備すればいいのか - 証明書の再発行に伴ったドメイン名と組織の検証 -

再発行後のSSL/TLSサーバ証明書がGoogle Chromeの要件に沿うためには、デジサートはDV、OV、およびEV証明書のすべてのドメイン名を再検証/再認証する必要があります。
また、OVおよびEV証明書に関しても、デジサートは必要な範囲で組織を再検証/再認証する必要があります。

下記の手続きによりお客様のドメイン名と組織を検証する作業がスムーズに運びます。恐れ入りますが、以下の手続きへのご協力をお願いいたします。

  • ドメイン名を利用する権利をお客様が有することを検証(すべての証明書が対象)

    証明書のドメイン名を利用する権利を申請者が有することが確認できると、証明書の発行が可能となります。このプロセスは申請承認またはDCVと呼ばれます。
    既定のDCVはEメールによる検証となっています。

    Eメールの検証プロセスは次のように行われます。デジサートが認証用EメールをWHOISレコードに登録済みのドメイン名所有者に送信します。
    Eメールは5つの管理用Eメールアドレス(各パブリックドメイン名の、admin@、administrator@、webmaster@、hostmaster@、postmaster@アカウント)にも送信できます。

    注意:デジサートが認証用Eメールを証明書申請者やアカウント管理者のEメールに送信する事はありません。

    EメールにはDCVを完了するための手順が記載されています。

  • 電話による認証の確認(OVおよびEVが対象)

    組織の認証を完了するため、デジサートが(第三者データベースによって)確認済の電話番号に電話をかけることを周知していただけるようお願いいたします。

  • 登記上の組織名称を提出(OVおよびEVが対象)

    OVあるいはEV SSL証明書の認証の場合、組織の登記上の名称をご提出いただきます。ご提出いただいた組織名称が正しくないと考えられる場合、
    デジサートは改めて確認させていただく必要があります。例えば、会社の登記上の名称がMy Company, Inc.の場合、MYCOでは認証が完了しません。

  • 第三者機関が管理する企業情報に登録する(OVおよびEVが対象)

    OVおよびEV証明書を申請する場合、組織のオンラインプレゼンス(登記名、住所、電話番号)があることが重要です。
    これは、帝国データバンクGoogle My Business東京商工リサーチなど、第三者機関が管理する企業情報データベースの企業・組織を登録することで可能になります。

Step 3:手続きを行う - シマンテック(および子会社)SSL/TLS証明書の再発行 -

証明書の再発行は次の手順にて行われます。

  1. お客様がご利用中のシマンテック、GeoTrust、あるいはRapidSSLアカウントにサインインしてください。
  2. 対象となる証明書を探します。
  3. CSR(証明書署名要求)を作成します。
  4. 証明書の再発行オプションを選択します。
  5. 再発行の申請を送信します。
  6. デジサートによるお客様のドメイン名と組織の再認証(証明書の種類の要件に準ずる)を終えたら早急に、証明書を再発行いたします。
  7. SSL/TLSサーバ証明書をインストールしてください。

証明書再発行の手順

よくある質問

対象の証明書をお客様がご利用になっている場合は、デジサートから再発行のお知らせ(Eメールまたは電話)をいたします。今すぐお手続きをご希望される場合は、お客様のアカウント担当者あるいは当社のサポートチームへご連絡ください。対象の証明書は2018年3月15日まで問題なく機能しますが、Chromeブラウザを利用してウェブサイトを閲覧する場合に警告が出ることを回避するためには、更新(更新が該当する場合)または再発行していただくことを強く推奨いたします。
対象の証明書が更新期間内(有効期限まで残り90日以内)の場合、再発行ではなく、更新を行ってください。更新によりこの問題は解決いたします。

弊社では、再認証に通常3〜5日いただいておりますが、お客様の情報をもっと必要とする場合はそれより長くかかる場合がございます。例えば、証明書を再発行する際は、当社より確認電話(※)あるいはその他の認証方法で、再認証する必要があります。当社からお客様に依頼する場合は、遅延を避けるためにできる限り早急に応じていただけるようお願いいたします。同一の組織で複数の証明書をお持ちの場合、初めに行なう認証が滞りなければ、その後に行う申請は迅速に発行されます。2018年の3月、4月には申請が混み合う可能性がございます。できる限り前もって再発行または更新の申請をお願いいたします。

(※)認証電話に関する注意:
認証の電話は通常、再発行の申請が提出されてから24時間以内に行われます。デジサートは確認済の電話番号に電話をかけ、組織の検証と認証を完了いたします。

DCVはコモンネーム(FQDN)に含まれるドメイン名が意図としない証明書の申請により悪意のある者への 発行を防ぐために必要な手続きです。
ドメインの所有者宛へドメイン名の使用権確認を認証の過程で実施し、証明書の発行をしています。
そのため、信頼性の高いドメイン名確認のプロセスに基づき、すべてのドメイン名を都度検証/認証する必要があります。

オンラインでの証明書申請完了後、ドメイン所有者様宛てに申請ドメイン名に対するSSL/TLSサーバ証明書の 発行を承認いただくためのEメール(SSL/TLSサーバ証明書の申請承認メール=DCVメール )を自動配信します。
DCVメールを受信されたドメイン名の所有者様は、Eメール本文に記載されているURLにアクセスし、 承認する事で当該ドメイン名に対するSSL/TLSサーバ証明書の申請を承認いただいていることの確認が完了します。

ドメイン名所有名義の確認方法については、こちらをご覧ください。
ドメイン名所有名義の確認方法について

ドメイン名所有名義を確認する「Whois」については、こちらをご覧ください。
WHOISとは何ですか

ドメイン名所有者宛の申請承認メールに関する詳細は、こちらをご覧ください。
SSL/TLSサーバ証明書の申請承認メール(DCVメール)について

いいえ。お客様が最初にご購入されたポータルや管理画面より再発行のお手続きを行ってください。
ご注文いただいた管理画面よりご確認いただけます。
3月15日(実際には安定版のリリースされる4月17日)までに再発行が必要な証明書の再発行に集中されることを推奨いたしますが、同時に再発行していただいても問題ございません。
該当する証明書は、信頼が無効化される日付までは機能します。再発行用の証明書を早急にインストールしてください。

2018年3月15日以降は、ユーザーがChromeあるいはFirefoxを使用してお客様のウェブサイトを閲覧するときに、お客様のサイトのSSL/TLSサーバ証明書が無効で、またお客様のサイトは保証されていない旨を記したブラウザ警告が表示されます。

例:

信頼が無効化される日付は、シマンテック、GeoTrust、およびRapidSSLの証明書を含め、VeriSignルートから発行されたすべての証明書に適用されます。
いいえ。現時点ではChromeおよびFirefoxはこれらの証明書を信頼を無効化する予定を表明していますが、弊社は、今後、他のブラウザにも同様の変更が行われることを予想しています。
Google(Chrome)の声明(英文)に関する詳細は、こちらをご覧ください
Mizilla(Firefox)の声明(英文)に関する詳細は、こちらをご覧ください