全てのパートナー様に該当する可能性のある 重要なお知らせです 2015 年 8 月 28 日 パートナー各位 合同会社シマンテック ウェブサイトセキュリティ SSL サーバ証明書における階層構造オプションの追加 および DNS Certification Authority Authorization(CAA) 対応について 平素より弊社製品の販売支援をいただき 誠にありがとうございます このたび弊社では 現在提供しております ECC 対応版 および SHA-2 対応版 SSL サーバ証明書において 従来とは異なる証明書の階層構造 ( または 検証チェーン ) を選択できるオプション ( 無償 ) を追加いたしますのでご案内申し上げます また 弊社ではシマンテック およびジオトラストブランドにおいて DNS Certification Authority Authorization(CAA) のサポートを開始いたします
ので 併せて案内申し上げます シマンテックでは 引続きサービス改善に努めて参りますので 今後ともご愛顧賜りますようお願い申し上げます 記 1. SSL サーバ証明書における階層構造オプションの追加 1-1. [ECC 対応版 SSL サーバ証明書 ] より普及した RSA ルート証明書へチェーンする階層構造オプション 適用日 2015 年 9 月 2 日 ( 水 ) 対象システム シマンテックストアフロント SSL-API 対象製品 上記対象システムから発行する以下製品
シマンテックグローバル サーバ ID シマンテックグローバル サーバ ID EV 概要 RSA 鍵を用いたより普及したルート証明書 (*1) へチェーンする ECC 対応版 SSL サーバ証明書のオプション (ECC/RSA ハイブリッドタイプ ) の提供を開始いたします 従来の ECC 鍵を用いた次世代のルート証明書 (*2) にチェーンする ECC 対応版 SSL サーバ証明書 (ECC ピュアチェーンタイプ ) に比べて クライアント端末との互換性に優れ Mac OS X ios ならびに Android 2.x でも SSL/TLS 通信が可能となります (*3) *1 : RSA 鍵を用いたより普及したルート証明書 VeriSign Class 3 Public Primary Certification Authority - G5 *2 : ECC 鍵を用いた次世代のルート証明書 VeriSign Class 3 Public Primary Certification Authority - G4 *3 : FAQ ECC DSA 対応版 SSL サーバ証明書対応状況 https://knowledge.symantec.com/jp/support/ssl-certificatessupport/index?page=content&id=so23050 ECC 対応版 SSL サーバ証明書とは シマンテックでは ますます高度化が進むサイバー脅威に先んじるために
2013 年より ECC(Elliptic Curve Cryptography: 楕円曲線暗号 ) オプションを提供させていただいております 現在主流として利用される RSA 2048 ビット鍵に比べて解読が約 10,000 倍程度困難である 256 ビット ECC 対応版 SSL サーバ証明書をご利用いただくことで セキュリティ向上のみならず Web サーバの CPU にかかる負荷が大幅に軽減 (*) されるなど サーバ運用にかかるコストを抑えることが可能です * : 導入事例株式会社ディレクターズ様 https://www.jp.websecurity.symantec.com/ssl/casestudies/directorz/ 1-2. [SHA-2 対応版 SSL サーバ証明書 ] SHA-256 で自己署名したルート証明書へチェーンする階層構造オプション 適用日 本日より 対象システムシマンテックストアフロントシマンテックセキュア サーバ ID ワイルドカード専用申請フォームジオトラストストアフロントパートナ専用 GeoCenter SSL-API
対象製品上記対象システムから発行する以下製品 シマンテックセキュア サーバ ID シマンテックセキュア サーバ ID ワイルドカード シマンテックセキュア サーバ ID EV シマンテックグローバル サーバ ID シマンテックグローバル サーバ ID EV ジオトラストクイック SSL プレミアム ジオトラストトゥルービジネス ID ジオトラストトゥルービジネス ID ワイルドカード ジオトラストトゥルービジネス ID with EV ラピッド SSL ワイルドカード 概要現在ご提供しております SHA-2 対応版 SSL サーバ証明書 では クライアント端末との互換性を最大化するため RSA SHA-1 で自己署名されたルート証明書 (*4) へチェーンする階層構造を採用しています 今回これに加えて SHA-256 で自己署名されたルート証明書 (*5) へチェーンする階層構造のオプション (SHA-2 フルチェーン ) を提供いたします これにより ルート証明書の自己署名 を含め 全てのコンポーネントに対して SHA-1 の利用停止ならびに SHA-2 の採用を必須とする要件への対応を可能とします (*6)
*4 : RSA SHA-1 で自己署名しているより普及したルート証明書 シマンテック :VeriSign Class 3 Public Primary Certification Authority - G5 シ オトラスト :GeoTrust Global CA または GeoTrust Primary Certification Authority *5 : RSA SHA-2 で自己署名した次世代のルート証明書 シマンテック :VeriSign Universal Root Certification Authority シ オトラスト :GeoTrust Primary Certification Authority G3 *6 : 米国 NIST ガイドラインへの厳格な準拠を要する政府機関 金融機関などへの対応 尚 通常のブラウザ (PC ブラウザ モバイル含む ) においては ルート証明書の 自己署名 に SHA-1 を継続的に利用することが明示的に許容されています 1-3. ご参考 取得方法について < ストアフロントから発行された証明書の場合 > 適用日以降 ユーザポータルから 再発行 にて当該オプションを選択の上 再発行してください 手順は以下をご参照ください https://knowledge.symantec.com/jp/support/ssl-certificatessupport/index?page=content&id=so23461 <SSL-API 経由で申請する場合 > 新規 更新 再発行申請時に 証明書の該当するオプションから選択してください
詳細は SSL-API 技術仕様書 ] サポートページ等で順次ご案内いたします 対応プラットフォームについて FAQ ECC DSA 対応版 SSL サーバ証明書対応状況 https://knowledge.symantec.com/jp/support/ssl-certificatessupport/index?page=content&id=so23050 中間 CA 証明書ダウンロードサイト https://www.jp.websecurity.symantec.com/repository/intermediate.html( 順次公開予定 ) 証明書階層構造オプションをご利用になる場合は 適切な中間 CA 証明書をインストールする必要があります 2. CAA (DNS Certification Authority Authorization) 対応について 適用日 2015 年 9 月 15 日 ( 火 ) ご申請分より順次 対象システムシマンテックストアフロントシマンテックセキュア サーバ ID ワイルドカード専用申請フォームジオトラストストアフロントパートナ専用 GeoCenter
SSL-API 対象製品上記対象システムから発行する以下製品 シマンテックセキュア サーバ ID シマンテックセキュア サーバ ID ワイルドカード シマンテックセキュア サーバ ID EV シマンテックグローバル サーバ ID シマンテックグローバル サーバ ID EV ジオトラストクイック SSL プレミアム ジオトラストトゥルービジネス ID ジオトラストトゥルービジネス ID ワイルドカード ジオトラストトゥルービジネス ID with EV ラピッド SSL ワイルドカード 概要 DNS Certification Authority Authorization( 以下 CAA ) とは ドメイン名の所有者 / 管理者が DNS サーバを用いて 自らが所有 / 管理するドメイン名に対して証明書の発行を許可する認証局を指定することが可能になる仕組みです DNS に CAA レコードを指定することで ドメイン名の所有者 / 管理者は 自らが管理するドメイン名に対して 意図しない認証局から証明書が発行されるリスクを低減することが可能になります
CAA は IETF RFC 6844 draft として策定されました また CA/ ブラウザフォーラムが定める業界基準文書 Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates ( 以下 BR ) では パブリック認証局に対して CPS( 認証局運用規定 ) に CAA へのサポートに関する宣言を公開することを義務付けています (*7) このたびシマンテックでは こうした動向を踏まえて CAA へのサポートを開始いたします *7 : BR Section 2.2. PUBLICATION OF INFORMATION https://cabforum.org/baseline-requirements-documents/ 対応内容当リリース以降に対象システムを通じて申請いただいた SSL サーバ証明書のご申請に対して 弊社による申請の承認時に シマンテックにてお客様の DNS ゾーンファイル内の CAA レコードを確認 (*8) いたします ご申請手順や 証明書インストール手順 またはクライアント端末への影響はございません *8 : DNS ゾーンファイル内に CAA レコードが存在しないことが確認された場合 これまでと同様に認証完了後 SSL サーバ証明書を発行いたします 詳細につきましては FAQ に随時公開いたします FAQ Certification Authority Authorization (CAA) https://knowledge.symantec.com/jp/support/ssl-certificatessupport/index?page=content&id=so28149
3. 本件に関するお問合せ先 パートナープログラム事務局 電話番号 : 03-5114-4796 メールアドレス : ssl-partner@symantec.com 以上 合同会社シマンテック ウェブサイトセキュリティパートナー営業部パートナープログラム事務局電話番号 : 03-5114-4796 FAX 番号 : 03-6368-9578 メールアドレス : ssl-partner@symantec.com Copyright (C) Symantec Website Security G.K. All rights reserved.