WHITE PAPER: White Paper いまさら 聞 けない とルート 証 明 書 の 関 係 暗 号 アルゴリズム2010 年 問 題 対 応 されるサイト 運 営 者 必 見! powered by Symantec
Copyright 2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロ ゴ は Symantec Corporation または 関 連 会 社 の 米 国 およびその 他 の 国 における 登 録 商 標 です その 他 の 会 社 名 製 品 名 は 各 社 の 登 録 商 標 または 商 標 です 合 同 会 社 シマンテック ウェブサイトセキュリティは 本 書 の 情 報 の 正 確 さと 完 全 性 を 保 つべく 努 力 を 行 ってい ます ただし 合 同 会 社 シマンテック ウェブサイトセキュリティは 本 書 に 含 まれる 情 報 に 関 して ( 明 示 黙 示 または 法 律 によるものを 問 わず)いかなる 種 類 の 保 証 も 行 いません 合 同 会 社 シマンテック ウェブサイトセキュ リティは 本 書 に 含 まれる 誤 り 省 略 または 記 述 によって 引 き 起 こされたいかなる( 直 接 または 間 接 の) 損 失 または 損 害 についても 責 任 を 負 わないものとします さらに 合 同 会 社 シマンテック ウェブサイトセキュリティ は 本 書 に 記 述 されている 製 品 またはサービスの 適 用 または 使 用 から 生 じたいかなる 責 任 も 負 わず 特 に 本 書 に 記 述 されている 製 品 またはサービスが 既 存 または 将 来 の 知 的 所 有 権 を 侵 害 しないという 保 証 を 否 認 します 本 書 は 本 書 の 読 者 に 対 し 本 書 の 内 容 に 従 って 作 成 された 機 器 または 製 品 の 作 成 使 用 または 販 売 を 行 うライセ ンスを 与 えるものではありません 最 後 に 本 書 に 記 述 されているすべての 知 的 所 有 権 に 関 連 するすべての 権 利 と 特 権 は 特 許 商 標 またはサービス マークの 所 有 者 に 属 するものであり それ 以 外 の 者 は 特 許 商 標 またはサービス マークの 所 有 者 による 明 示 的 な 許 可 承 認 またはライセンスなしにはそのような 権 利 を 行 使 することができません 合 同 会 社 シマンテック ウェブサイトセキュリティは 本 書 に 含 まれるすべての 情 報 を 事 前 の 通 知 なく 変 更 する 権 利 を 持 ちます 2
CONTENTS 概 要 4 第 1 章 暗 号 化 通 信 で 必 須 となる とルート 証 明 書 5 HTTPS 通 信 の 開 始 方 法 5 とルート 証 明 書 の 関 係 5 第 2 章 暗 号 化 通 信 における 信 頼 の 要 ルート 証 明 書 6 クライアントに 登 録 されるルート 証 明 書 6 認 証 局 (ルート 証 明 書 )を 登 録 する 基 準 7 第 3 章 登 録 された 認 証 局 (ルート 証 明 書 )のメンテナンス 8 PCブラウザにおける 認 証 局 (ルート 証 明 書 )のメンテナンス 8 携 帯 電 話 や 家 電 組 み 込 み 機 器 における 認 証 局 (ルート 証 明 書 )の メンテナンス 8 携 帯 電 話 (NTT docomo)を 例 に 見 る 登 録 された 認 証 局 (ルート 証 明 書 ) 8 第 4 章 最 後 に 10 付 録 シマンテック 11 シマンテック グローバル サーバID EV(サーバタイプ:すべて 共 通 ) 12 シマンテック セキュア サーバID EV(サーバタイプ:すべて 共 通 ) 13 シマンテック グローバル サーバID(サーバタイプ: 新 仕 様 1 ) 14 シマンテック グローバル サーバID(サーバタイプ: 旧 来 仕 様 2 ) 15 シマンテック セキュア サーバID(サーバタイプ: 新 仕 様 3 ) 16 シマンテック セキュア サーバID(プラットフォーム: 旧 来 仕 様 4 ) 17 3
概 要 不 景 気 を 反 映 した 消 費 スタイルの 価 格 ポイントサービス 志 向 など により 今 までホームセンターで 買 っていたような 日 用 品 まで E コ マースで 購 入 されるようになってきました とくに 昨 今 では 携 帯 電 話 やスマートフォンなどのモバイル EC 市 場 が 全 体 を 牽 引 する 形 となり 景 気 の 低 迷 にもかかわらず 消 費 者 向 け E コマース 市 場 が 依 然 として 急 成 長 しています この 市 場 の 成 長 スピードと 連 動 してウェブサイト 構 築 に 求 められる のが 開 発 スピードです 最 近 のウェブサイトの 開 発 期 間 は 2ヶ 月 3ヶ 月 という 短 いサイクルが 求 められ 一 つのトラブルがスケジュー ル 全 体 の 致 命 的 な 遅 延 に 繋 がりかねません また そうした 短 期 間 で 開 発 されたシステムに 対 しては 十 分 なテスト 時 間 が 設 けられ ず いざサイトをオープンしたとたんに トラブルが 発 生 するので す ウェブサイトに 接 続 しようとすると セキュリティの 警 告 がでるの はなぜ? 新 しい 携 帯 電 話 からは 通 信 できるけど 古 い 携 帯 電 話 だと 接 続 で きないはなぜ? 最 近 のウェブサイトは 外 部 システムとの 連 携 が 前 提 で 構 築 され こうした 複 雑 化 したシステムで 発 生 するトラブルの 原 因 は ネット ワークからアプリケーション システム 連 携 など 様 々な 要 因 が 考 え られます ウェブサイト 構 築 にとって 一 つでもその 要 因 を 排 除 する ことが 理 想 です このホワイトペーパでは 前 述 のようなトラブル が 発 生 する 原 因 について SSL(Secure Sockets Layer) 暗 号 化 通 信 の 技 術 的 な 仕 組 みを 通 して 解 説 していきます この 仕 組 みを 理 解 することによって トラブル 発 生 時 に 何 が 原 因 であるのか より 具 体 的 にイメージしながら 対 応 することができ また 事 前 に 問 題 回 避 することもできるようになるでしょう 4
第 1 章 暗 号 化 通 信 で 必 須 となる SSL サーバ 証 明 書 とルート 証 明 書 HTTPS 通 信 の 開 始 方 法 HTTPS 通 信 を 開 始 する 際 に クライアント(ウェブブラウザや 携 帯 電 話 など)とウェブサーバ 間 では どのような 処 理 が 行 われてい るのでしょうか? クライアントとウェブサーバの 間 では 下 記 の 手 順 1~4および 図 1 のようなやり 取 りが 行 われます 1 クライアントがセキュアなウェブサイト(https:// ~)へアク セスし SSL 暗 号 化 通 信 で 接 続 を 要 求 します このときクライ アントは 自 身 が 使 用 可 能 な 暗 号 化 の 仕 様 ( 暗 号 方 式 鍵 長 圧 縮 方 式 )をウェブサーバへ 伝 えます ウェブサーバは クラ イアントから 提 示 された 暗 号 化 使 用 から 実 際 に 利 用 するものを 選 択 して クライアントへ 通 知 します 2 ウェブサーバは 自 分 の 身 分 を 証 明 する SSL サーバ 証 明 書 を クライアントへ 送 ります クライアントは SSL サーバ 証 明 書 を 受 け 取 り クライアントに 信 頼 される 認 証 局 としてあらかじ め 登 録 されている 認 証 局 (CA)の 証 明 書 (これをルート 証 明 書 と 呼 ぶ)を 用 いて SSL サーバ 証 明 書 の 署 名 検 証 を 行 います またクライアントは SSL サーバ 証 明 書 からウェブサーバの 公 開 鍵 を 取 得 します 3 正 しくルート 証 明 書 へのチェーンを 辿 って 署 名 検 証 が 完 了 する と クライアントはウェブサーバの 公 開 鍵 を 用 いてプリマスタ シークレット( 共 通 鍵 を 生 成 する 基 となる 乱 数 データ)を 暗 号 化 し ウェブサーバへ 送 付 します ウェブサーバは 自 分 の 秘 密 鍵 を 用 いて プリマスタシークレットを 復 号 します 4 3で 共 有 されたプリマスタシークレットを 基 にクライアントと ウェブサーバで 同 じ 共 通 鍵 を 生 成 および 共 有 し 以 降 のセッショ ンではこの 共 通 鍵 を 用 いて 暗 号 化 復 号 して 通 信 を 行 います 図 1. SSL 暗 号 化 通 信 開 始 時 のウェブサーバとクライアントのやり 取 りのイ メージ HTTPS 通 信 が 開 始 される 短 い 時 間 の 中 で ルート 証 明 書 は ウェ ブサーバから 送 られてくる SSL サーバ 証 明 書 の 信 頼 性 を 判 断 する 重 要 な 役 割 を 果 たしていることがわかるでしょう SSL サーバ 証 明 書 とルート 証 明 書 の 関 係 SSL サーバ 証 明 書 は ウェブサイトを 運 営 している 団 体 のいわゆる 電 子 的 な 身 分 証 明 書 です これを 確 認 することで 認 証 済 み の 安 全 なサイトなのか それとも 身 元 の 確 認 が 取 れない 危 険 なサ イトなのかを 見 極 めることができます SSL サーバ 証 明 書 は シマンテックのような 認 証 局 事 業 者 に 申 請 し その 事 業 者 が 設 定 する 認 証 を 受 けて 発 行 してもらう 必 要 があります SSL サーバ 証 明 書 には サーバの 運 営 者 である 組 織 名 証 明 書 を 発 行 した 認 証 局 の 名 前 ウェブサーバの 公 開 鍵 や 証 明 書 の 有 効 期 間 が 明 記 されており さらに 認 証 局 事 業 者 の 署 名 が 付 いています 認 証 局 事 業 者 の 署 名 とは SSL サーバ 証 明 書 のハッシュ 値 を 認 証 局 の 秘 密 鍵 で 暗 号 化 したデータです クライアントは SSL サー バ 証 明 書 を 受 け 取 ると クライアントに 登 録 されている 認 証 局 の 証 明 書 (ルート 証 明 書 )を 用 いて この 認 証 局 の 署 名 を 復 号 します 復 号 したデータが SSL サーバ 証 明 書 のハッシュ 値 と 一 致 すれば 第 三 者 によって 改 ざんされたものでない 正 しく 認 証 局 事 業 者 が 発 行 した SSL サーバ 証 明 書 であることが 確 認 できます 5
Subject 第 2 章 暗 号 化 通 信 における 信 頼 の 要 ルート 証 明 書 CN = www.example.com O = Example Japan K.K. OU = Marketing Department Issuer CN = VeriSign International Server CA Class 3 O = VeriSign 有 効 期 限 2010/3/1 2012/3/1 利 用 者 ( 運 営 者 ) 情 報 発 行 者 ( 認 証 局 ) 情 報 クライアントに 登 録 されているルート 証 明 書 のリストは PC の 場 合 は 簡 単 に 確 認 することができます Microsoft Internet Explorer の 場 合 メニューの ツール から インターネットオ プション(O) コンテンツ 証 明 書 信 頼 されたルート 証 明 書 機 関 を 辿 ることで 登 録 された 認 証 局 (ルート 証 明 書 )の 一 覧 を 確 認 することができます クライアントに 登 録 されるルート 証 明 書 利 用 者 公 開 鍵 認 証 局 署 名 図 2. SSL サーバ 証 明 書 の 概 略 このようにウェブサーバから 送 られてくる SSL サーバ 証 明 書 が 信 頼 できる 証 明 書 かを 署 名 検 証 するキーポイントとなるのがクライ アントに 登 録 されている 認 証 局 の 証 明 書 (ルート 証 明 書 )である ことがわかるでしょう 認 証 局 の 証 明 書 (ルート 証 明 書 )が 存 在 しないと ウェブサーバ から 送 られてくる SSL サーバ 証 明 書 の 認 証 局 の 署 名 が 検 証 でき ずに 下 記 のようなエラーが 発 生 します ウェブサイトに 接 続 しようとすると セキュリティの 警 告 がでる 新 しい 携 帯 電 話 からは 通 信 できるけど 古 い 携 帯 電 話 だと 接 続 で きない 次 の 章 では クライアントに 登 録 されているルート 証 明 書 に 関 する 概 説 と 上 記 エラーの 原 因 であるクライアントがルート 証 明 書 を 登 録 する 基 準 について 解 説 します 図 3. Internet Explorer に 登 録 されたルート 証 明 書 の 確 認 方 法 ルート 証 明 書 は 自 分 自 身 で 電 子 署 名 をした 電 子 証 明 書 を 発 行 し ているという 特 徴 があります 図 3. の 例 で 言 うと 発 行 先 と 発 行 者 が 同 じであることで 確 認 することができます ブラウザベンダー や 携 帯 電 話 の 提 供 者 であるキャリア 家 電 組 み 込 み 機 器 メーカ などが このようなルート 証 明 書 を 組 込 むにあたっては 独 自 に 厳 密 な 審 査 を 行 っています このプロセスに 合 格 して 初 めて 信 頼 できるルート 認 証 局 として 登 録 されるというルールが 採 用 されて いるので 私 たちはこれを 用 いた SSL 通 信 を 信 頼 できると 言 えます 6
次 節 では ブラウザベンダーなどが 実 施 する 厳 密 な 審 査 とは ど のような 基 準 に 基 づくものなのかについて マイクロソフトが 公 開 している 内 容 を 例 に 説 明 します 認 証 局 (ルート 証 明 書 )を 登 録 する 基 準 シマンテックのような 認 証 局 は 業 務 を 適 切 に 行 うために CP (Certificate Policy: 証 明 書 ポリシー)と CPS(Certification Practice Statement: 認 証 局 運 用 規 程 )を 作 成 し この 文 書 に 従 って 業 務 を 遂 行 しています CP/CPS は 認 証 サービスにおけ る 認 証 局 の 義 務 と 責 任 運 用 方 法 電 子 証 明 書 の 適 用 範 囲 などを 電 子 証 明 書 の 利 用 者 や 検 証 者 へ 告 知 することで 認 証 局 の 社 会 的 信 頼 性 を 向 上 させると 共 に 係 争 発 生 時 の 責 任 の 明 確 化 するための 重 要 な 文 書 です 一 般 的 に このような 文 章 は 公 開 されていますが 実 際 に 認 証 局 が 業 務 を 適 切 に 行 っているか また 発 行 される 電 子 証 明 書 を 信 頼 してよいかを 電 子 証 明 書 の 利 用 者 を 含 む 外 部 の 利 害 関 係 者 が 判 断 することはできません そこで 登 場 するのが 監 査 というキーワードです ここで 紹 介 されている 監 査 基 準 の 一 つである WebTrust につい て もう 少 し 詳 しく 解 説 します 米 国 公 認 会 計 士 協 会 (AICPA) 及 びカナダ 勅 許 会 計 士 協 会 (CICA)が 定 めた オンラインにお ける 電 子 商 取 引 を 対 象 とした 保 証 サービスを WebTrust のサービ スとして 定 義 されています その 中 でも 認 証 局 の 信 頼 性 を 保 証 するサービスとして WebTrust for CA というものがあり 認 証 局 がその 原 則 と 規 準 に 準 拠 しているかどうかを 監 査 法 人 が 検 証 し 準 拠 が 確 認 された 認 証 局 に 対 して 検 証 報 告 書 が 発 行 します また ブラウザベンダーやキャリア 家 電 組 み 込 み 機 器 メーカなどは このような 監 査 結 果 を 確 認 することによって 各 認 証 局 を 信 頼 できるルート 認 証 局 として 登 録 しています 次 の 章 では クライアントに 組 み 込 まれたルート 証 明 書 が どのよ うな 形 でメンテナンスされるのか そしてメンテナンスができない 場 合 には どのような 状 況 がもたらされるのかについて 解 説 します 外 部 の 利 害 関 係 者 が 認 証 局 や 発 行 された 電 子 証 明 書 を 信 頼 でき るかどうかを 判 断 するうえで 認 証 局 の 業 務 に 精 通 し 認 証 局 から 独 立 した 第 三 者 による 監 査 が 行 われているかどうかが ブラウザベ ンダーなどが 信 頼 できるルート 認 証 局 として 登 録 する 重 要 な 基 準 となっています たとえば マイクロソフトでは 登 録 基 準 と して どのような 監 査 を 満 たす 必 要 があるかをウェブで 公 開 してい ます マイクロソフト ルート 証 明 書 プログラム http://technet.microsoft.com/jajp/library/cc751157. aspx 一 般 要 件 ( 抜 粋 ) CA は 監 査 を 完 了 し 監 査 結 果 をマイクロソフトに 12 か 月 ごとに 提 出 する 必 要 があります 監 査 は 拡 張 キー 使 用 法 (EKU) の 割 り 当 てで マイクロソ フトにより 有 効 とされる PKI 階 層 を 対 象 とする 必 要 があります マイクロソ フトが 有 効 にするすべての 証 明 書 の 使 用 は 定 期 的 に 監 査 される 必 要 があり ます 監 査 レポートは 監 査 の 対 象 となっている 特 定 の 種 類 の 証 明 書 を 発 行 するサブ CA を 含 むすべての 範 囲 の PKI 階 層 を 文 書 化 する 必 要 がありま す 適 格 な 監 査 には 次 が 含 まれます CA 監 査 者 ( 監 査 機 関 )について 認 可 されているWebTrustにより 完 了 さ れたWebTrust for Certificate Authorities v1.0またはそれ 以 降 ( 英 語 情 報 ) ETSI TS 101 456 v1.2.1またはそれ 以 降 ( 英 語 情 報 ) ETSI TS 102 042 v1.1.1またはそれ 以 降 ( 英 語 情 報 ) または CA 監 査 者 ( 監 査 機 関 )について 認 可 されているWebTrustか CAと 同 じ 管 轄 の 査 定 人 についての 法 律 やポリシーにより 運 営 されている 監 査 機 関 のいずれかにより 完 了 されたISO 21188:2006( 英 語 情 報 ) Public key infrastructure for financial services Practices and policy framework CA:Certificate Authority 認 証 局 7
第 3 章 登 録 された 認 証 局 (ルート 証 明 書 )の メンテナンス クライアントの 出 荷 時 に 組 み 込 まれた 認 証 局 (ルート 証 明 書 )は 定 期 的 にメンテナンス( 更 新 )をする 必 要 があります その 理 由 としては 新 しい 暗 号 アルゴリズムを 採 用 したルート 証 明 書 の 追 加 や 危 殆 化 した 暗 号 アルゴリズムを 使 用 しているルート 証 明 書 の 削 除 を 行 うことを 目 的 としてメンテナンスが 実 行 されます PC ブラウザにおける 認 証 局 (ルート 証 明 書 )のメン テナンス PC ブラウザなどでは 出 荷 時 に 組 み 込 まれた 認 証 局 (ルート 証 明 書 )に 対 して 定 期 的 にオンラインでメンテナンス( 更 新 )が 実 行 することができます ( 参 考 ) 代 表 的 なブラウザベンダーのルート 証 明 書 の 更 新 方 法 (1) マイクロソフト ルート 証 明 書 の 更 新 プログラムが 提 供 されて います (2) Mozilla Firefox ブラウザのバージョンアップにより 自 動 的 に ルート 証 明 書 が 更 新 されます 携 帯 電 話 や 家 電 組 み 込 み 機 器 における 認 証 局 (ルー ト 証 明 書 )のメンテナンス 携 帯 電 話 (NTT docomo)を 例 に 見 る 登 録 された 認 証 局 (ルート 証 明 書 ) 携 帯 電 話 において どのようなルート 証 明 書 がリストに 登 録 されて いるかは 携 帯 電 話 の 提 供 者 である 各 キャリアのホームページで 公 開 されています ( 参 考 ) 各 キャリアの SSL/TLS 通 信 に 関 する 携 帯 電 話 仕 様 に ついて (1)NTT docomo http://www.nttdocomo.co.jp/service/imode/make/ content/ssl/spec/index.html#taiou (2)au by KDDI http://www.au.kddi.com/ezfactory/tec/spec/ssl.html (3)SoftBank Mobile http://creation.mb.softbank.jp/web/web_ssl.html NTT docomo で 公 開 されている 各 携 帯 端 末 に 登 録 されている ルート 証 明 書 の 一 覧 から 抜 粋 した 内 容 を 表 2 に 示 します これを 見 ると 分 かるように 発 売 時 期 などによって 登 録 されているルート 証 明 書 の 種 類 や 登 録 数 が 異 なっていることが 確 認 できます PC に 比 べて 携 帯 電 話 や 家 電 組 み 込 み 機 器 には 場 合 によっ ては 以 下 のような 制 限 があるので SSL サーバ 証 明 書 の 選 択 には 注 意 が 必 要 です (1) ルート 証 明 書 のオンラインアップデート 機 能 が 提 供 されてい ない (2) デバイスのメモリー 容 量 の 関 係 で 限 られたルート 証 明 書 のみ しか 登 録 できない (3) 最 新 の 暗 号 アルゴリズムは 取 り 扱 えない つまり 出 荷 時 に 組 み 込 まれた 認 証 局 (ルート 証 明 書 )のみが 信 頼 できるルート 認 証 局 として 登 録 され SSL 暗 号 化 通 信 を 実 現 することができます 以 下 では NTT docomoが 公 開 しているルー ト 証 明 書 の 一 覧 を 例 にして SSL サーバ 証 明 書 の 選 択 の 注 意 点 を 詳 細 に 解 説 します 8
表 2. 各 携 帯 端 末 ( 抜 粋 )に 登 録 されているルート 証 明 書 の 一 覧 機 種 名 発 売 日 登 録 されているルート 証 明 書 L04B L03B L02B 2010 年 6 月 25 日 2010 年 3 月 12 日 2009 年 12 月 18 日 VeriSignクラス3 Primary CAルート 証 明 書 VeriSignクラス 3 Primary CA ルート 証 明 書 G2 Equifax Secure Certificate Authority Equifax Secure ebusiness CA1 GeoTrust Global CA GTE CyberTrust Global Root Baltimore CyberTrust Root GlobalSign Root CA GlobalSign Root CAR2 Valicert Class 3 Policy Validation Authority L01B 2010 年 3 月 26 日 VeriSignクラス3 Primary CAルート 証 明 書 VeriSignクラス 3 Primary CA ルート 証 明 書 G2 Equifax Secure Certificate Authority Equifax Secure ebusiness CA1 GeoTrust Global CA GTE CyberTrust Global Root Baltimore CyberTrust Root GlobalSign Root CA GlobalSign Root CAR2 Valicert Class 3 Policy Validation Authority RSA Security 2048 V3 Security Communication RootCA1 AddTrust External CA Root AAA Certificate Services COMODO Certificate Authority FOMA 901i 2004 年 12 月 24 日 VeriSignクラス3 Primary CAルート 証 明 書 VeriSignクラス 3 Primary CA ルート 証 明 書 G2 Equifax Secure Certificate Authority Equifax Secure ebusiness CA1 GeoTrust Global CA GTE CyberTrust Global Root Baltimore CyberTrust Root FOMA 900i 2004 年 2 月 29 日 VeriSignクラス3 Primary CAルート 証 明 書 VeriSignクラス 3 Primary CA ルート 証 明 書 G2 GTE CyberTrust Global Root 前 述 のように 携 帯 電 話 や 家 電 組 み 込 み 機 器 においては 場 合 によっては 信 頼 できるルート 認 証 局 としてルート 証 明 書 が 登 録 されるのは 出 荷 されるタイミングのみです シマンテックの ルート 証 明 書 (VeriSign クラス 3 Primary CA ルート 証 明 書 と VeriSign クラス 3 Primary CA ルート 証 明 書 G2)は 古 くは 2001 年 の 携 帯 電 話 から 信 頼 できるルート 認 証 局 とし て 登 録 されています ここに シマンテックが SSL 暗 号 化 通 信 の 対 応 率 として 業 界 No.1 を 維 持 している 理 由 があります 例 えば 携 帯 電 話 におけるルート 証 明 書 搭 載 率 を 表 した 資 料 に 株 式 会 社 ケータイラボラトリー 第 三 世 代 携 帯 端 末 ルート 証 明 書 搭 載 状 況 調 査 結 果 と 分 析 (2010 年 3 月 1 日 参 考 URL: http://www.ktailabo.com/pdf/ssl_free_report.pdf)があ ります この 資 料 によるとシマンテックのルート 証 明 書 (VeriSign クラス 3 Primary CA ルート 証 明 書 と VeriSign クラス 3 Primary CA ルート 証 明 書 G2)は 搭 載 率 100% に 達 している ことが 分 かり この 高 いルート 証 明 書 の 普 及 率 が 携 帯 電 話 対 応 率 業 界 No.1 を 維 持 しているゆえんです 9
第 4 章 最 後 に ウェブサイト 構 築 作 業 において SSL サーバ 証 明 書 の 導 入 は つい 片 手 間 に 考 えてしまうかもしれません そのため SSL サーバ 証 明 書 の 選 定 では 価 格 や 発 行 スピードで 選 んでしまいがちですが その 結 果 としてサービス 運 用 中 に 思 わぬトラブルが 発 生 する 可 能 性 があります こういったトラブルを 避 けるためにも 今 回 ご 紹 介 した 認 証 局 (ルー ト 証 明 書 )の 役 割 について 理 解 したうえで を 選 定 導 入 することで 予 期 しないトラブルを 未 然 に 防 ぐことができる でしょう 10
付 録 シマンテック SSL サーバ 証 明 書 本 稿 が 想 定 する 読 者 にあたるウェブサイト 運 営 者 の SSL サーバ 証 明 書 の 選 定 業 務 の 中 で シマンテック SSL サーバ 証 明 書 が どのルー ト 証 明 書 から 発 行 されているかを 正 しく 把 握 し 自 社 のサービス 要 件 にあった 証 明 書 を 選 択 いただくために それぞれの SSL サーバ 証 明 書 とルート 証 明 書 の 関 係 を 解 説 します シマンテック SSL サーバ 証 明 書 には 以 下 の 4 種 類 があります しかしながら 暗 号 アルゴリズム 2010 年 問 題 の 対 応 によりシマンテッ ク グローバル サーバ ID とシマンテック セキュア サーバ ID に 対 して 2010 年 10 月 に 仕 様 変 更 いたしました さらに 申 請 者 が 選 択 する サーバタイプ によって 発 行 される SSL サーバ 証 明 書 に 対 応 する 認 証 局 (ルート 証 明 書 )が 異 なります 以 下 では それぞれの SSL サーバ 証 明 書 に 対 応 する 認 証 局 (ルート 認 証 局 )を 図 解 します (1)シマンテック グローバル サーバ ID EV (2)シマンテック セキュア サーバ ID EV (3)シマンテック グローバル サーバ ID (4)シマンテック セキュア サーバ ID 凡 例 証 明 書 の 種 類 証 明 書 の 仕 様 証 明 書 の 関 係 ルート 認 証 局 証 明 書 中 間 認 証 局 証 明 書 (クロスルート 証 明 書 含 む) 認 証 局 の 名 称 署 名 アルゴリズムおよび 鍵 長 署 名 検 証 のパス (EndEntityから 上 位 の 認 証 局 へ 向 かってチェーンを 送 る) エンドエンティティ 証 明 書 中 間 認 証 局 証 明 書 クロスルート 方 式 の 場 合 の 署 名 検 証 のパス 11
シマンテック グローバル サーバID EV(サーバタイプ:すべて 共 通 ) 階 層 シマンテック グローバル サーバID EV(サーバタイプ:すべて 共 通 ) ルート 証 明 書 VeriSign Class 3 Public Primary Certification Authority G5 Class 3 Public Primary Certification Authority 鍵 長 :1024 bit 中 間 証 明 書 VeriSign Class 3 Public Primary Certification Authority G5 新 しいPCブラウザ (IE7 等 )の 検 証 パス 携 帯 電 話 等 の 検 証 パス 二 階 層 目 中 間 CA 証 明 書 (すべての 証 明 書 共 通 ) VeriSign Class 3 Extended Validation SSL SGC CA 三 階 層 目 中 間 CA 証 明 書 (シマンテック グローバル サーバID EV 専 用 ) (End Entity) 12
シマンテック セキュア サーバID EV(サーバタイプ:すべて 共 通 ) 階 層 シマンテック セキュア サーバID EV(サーバタイプ:すべて 共 通 ) ルート 証 明 書 VeriSign Class 3 Public Primary Certification Authority G5 Class 3 Public Primary Certification Authority 鍵 長 :1024 bit 中 間 証 明 書 VeriSign Class 3 Public Primary Certification Authority G5 新 しいPCブラウザ (IE7 等 )の 検 証 パス 携 帯 電 話 等 の 検 証 パス 二 階 層 目 中 間 CA 証 明 書 (すべての 証 明 書 共 通 ) VeriSign Class 3 Extended Validation SSL SGC CA 三 階 層 目 中 間 CA 証 明 書 (シマンテック セキュア サーバID EV 専 用 ) (End Entity) 13
シマンテック グローバル サーバID(サーバタイプ: 新 仕 様 1 ) 階 層 シマンテック グローバル サーバID(サーバタイプ: 新 仕 様 ) ルート 証 明 書 VeriSign Class 3 Public Primary Certification Authority G5 Class 3 Public Primary Certification Authority 鍵 長 :1024 bit 中 間 証 明 書 VeriSign Class 3 Public Primary Certification Authority G5 新 しいPCブラウザ (IE7 等 )の 検 証 パス 携 帯 電 話 等 の 検 証 パス 二 階 層 目 中 間 CA 証 明 書 (すべての 証 明 書 共 通 ) VeriSign Class 3 Extended Validation SSL SGC CA 三 階 層 目 中 間 CA 証 明 書 (シマンテック グローバル サーバID 専 用 ) (End Entity) 1:ストアフロントをご 利 用 のお 客 様 は マイクロソフト と マイクロソフト 以 外 のサーバ の 2 種 類 を 選 択 した 場 合 に 発 行 されます シマンテック マネージド PKI for SSL をご 利 用 のお 客 様 は Old Premium SSL 以 外 を 選 択 した 場 合 に 発 行 されます 14
シマンテック グローバル サーバID(サーバタイプ: 旧 来 仕 様 2 ) 階 層 シマンテック グローバル サーバID(サーバタイプ: 旧 来 仕 様 ) ルート 証 明 書 Class 3 Public Primary Certification Authority 鍵 長 :1024 bit 中 間 証 明 書 VeriSign International Server CA Class 3 鍵 長 :1024 bit シマンテック グローバル サーバID 中 間 CA 証 明 書 (End Entity) 2: ストアフロントをご 利 用 のお 客 様 は 旧 来 仕 様 (1024bit) マイクロソフト と 旧 来 仕 様 (1024bit) マイクロソフト 以 外 の 2 種 類 を 選 択 した 場 合 に 発 行 されます シマンテック マネージド PKI for SSL をご 利 用 のお 客 様 は Old Premium SSL を 選 択 した 場 合 に 発 行 されます 15
シマンテック セキュア サーバID(サーバタイプ: 新 仕 様 3 ) 階 層 シマンテック セキュア サーバID(サーバタイプ: 新 仕 様 ) ルート 証 明 書 VeriSign Class 3 Public Primary Certification Authority G5 Class 3 Public Primary Certification Authority 鍵 長 :1024 bit 中 間 証 明 書 VeriSign Class 3 Public Primary Certification Authority G5 新 しいPCブラウザ (IE7 等 )の 検 証 パス 携 帯 電 話 等 の 検 証 パス 二 階 層 目 中 間 CA 証 明 書 (すべての 証 明 書 共 通 ) VeriSign Class 3 Extended Validation SSL SGC CA 三 階 層 目 中 間 CA 証 明 書 (シマンテック セキュア サーバID 専 用 ) (End Entity) 3:ストアフロントをご 利 用 のお 客 様 は マイクロソフト と マイクロソフト 以 外 のサーバ の 2 種 類 を 選 択 した 場 合 に 発 行 されます シマンテック マネージド PKI for SSL をご 利 用 のお 客 様 は 3 階 層 中 間 CA 1024bit(IIS 用 ) と 3 階 層 中 間 CA 1024bit(IIS 以 外 ) の 2 種 類 を 選 択 した 場 合 に 発 行 されます 16
シマンテック セキュア サーバID(プラットフォーム: 旧 来 仕 様 4 ) 階 層 シマンテック セキュア サーバID(プラットフォーム: 旧 来 仕 様 ) ルート 証 明 書 Class 3 Public Primary Certification Authority 鍵 長 :1024 bit 中 間 証 明 書 VeriSign International Server CA Class 3 鍵 長 :1024 bit シマンテック セキュア サーバID 中 間 CA 証 明 書 (End Entity) 4: ストアフロントをご 利 用 のお 客 様 の 場 合 旧 来 仕 様 (1024bit) マイクロソフト と 旧 来 仕 様 (1024bit) マイクロソフト 以 外 の 2 種 類 があります シマンテック マネージド PKI for SSL をご 利 用 のお 客 様 の 場 合 3 階 層 中 間 CA 1024bit(IIS 用 ) と 3 階 層 中 間 CA 1024bit(IIS 以 外 ) の 2 種 類 があります 17 Copyright 2014 Symantec Corporation. All rights reserved. シマンテック(Symantec) ノートン(Norton) およびチェックマークロゴ(the Checkmark Logo)は 米 国 シマンテック コーポ レーション(Symantec Corporation)またはその 関 連 会 社 の 米 国 またはその 他 の 国 における 登 録 商 標 または 商 標 です その 他 の 名 称 もそれぞれの 所 有 者 による 商 標 である 可 能 性 があります 製 品 の 仕 様 と 価 格 は 都 合 により 予 告 なしに 変 更 することがあります 本 カタログの 記 載 内 容 は 2014 年 4 月 現 在 のものです WPROOT2010_1308 合 同 会 社 シマンテック ウェブサイトセキュリティ https://www.jp.websecurity.symantec.com/ 1040028 東 京 都 港 区 赤 坂 11144 赤 坂 インターシティ Tel : 0120707637 Email : websales_jp@symantec.com