NEWS

シマンテックSSL証明書の取り扱いについて

(2018/02/15更新 証明書の確認方法を追記)
(2018/02/23更新 該当する証明書の対応方法について追記)

シマンテックSSL証明書の機能と信頼性に影響を与える非常に重要な問題についてご案内します。
昨年から問題となっているChromeブラウザ等によるシマンテック社証明書の信頼性問題については、デジサート・ジャパンによるシマンテック・ウェブサイトセキュリティ社の買収により一応解決しました。
デジサートへの切り替えは2017年12月1日10時に完了し、2017年12月1日以降は、デジサートシステムからSSL証明書が発行されることになりました。 
2017年12月1日以降に発行されたシマンテック系SSL証明書は、Chromeブラウザの警告対象になることは御座いません。 

しかしながら、2017年12月1日より前に発行されたシマンテック系SSL証明書は、Chromeブラウザの警告対象となります。 
これらの証明書をご利用のWEBサイトでは、Chromeブラウザでのアクセス時に警告表示されることを避けるため、次のスケジュールで新仕様のSSL証明書へ置き換えて頂く必要が御座います。

■ Google Chrome の方針と対策
【ブラウザの警告対象】
Chrome 66(2018年4月17日リリース、ベータ版は2018年3月15日リリース)2016年6月01日以前に発行されたシマンテック系SSL証明書を警告対象にする。
Chrome 70(2018年10月23日リリース、ベータ版は2018年9月13日リリース)デジサートシステムへ移行(2017年12月1日)する前に発行された全シマンテック系SSL証明書を警告対象にする。

■ 該当する証明書か確認する方法
Google Chrome Ver.62 から、証明書が信頼されなくなる対象かどうかの確認ができるようになっています。
※Google Chromeを自動更新に設定していれば、現在のバージョンで確認可能です。

(1) 調べたいWEBサイトにGoogle Chromeでアクセスする(必ずhttps://で始まるURLのサイトにアクセスしてください)。
(2) Google Chrome右上のメニューボタンから、「その他のツール」>「デベロッパーツール」を選択
(3) デベロッパーツールが開くので、上部に表示されるメニューの「Console」をクリック
(4) 以下のような文章の警告が表示されましたら、該当する証明書です。

The SSL certificate used to load resources from 「https://ドメイン名」 will be distrusted in M70. Once distrusted, users will be prevented from loading these resources. See https://g.co/chrome/symantecpkicerts for more information.

「will be distrusted in M66」ならば、Chrome 66 以降の警告対象です。
「will be distrusted in M70」ならば、Chrome 70 以降の警告対象です。

■ シマンテック系証明書の再発行手順
対象となる証明書は、証明書の再発行を受け、新しい証明書・中間証明書に入れ替える必要があります。

1.CSRを準備
再発行の申請にもCSRが必要です。発行を申請した際の古いCSRでかまいません。
 (秘密鍵を無くした、秘密鍵が盗まれた等の場合は新しいCSRでなければなりません)

2.オーダー管理用URLの取得
(1)証明書ごとに以下のURLにアクセスしてください。
ジオトラスト (RapidSSL, QuickSSL Basic, QuickSSL Premium, True BusinessID) https://products.geotrust.com/orders/orderinformation/authentication.do
シマンテック/ベリサイン (セキュア・サーバID, グローバル・サーバID)
https://products.websecurity.symantec.com/orders/orderinformation/authentication.do
ソート (Thawte)
https://products.thawte.com/orders/orderinformation/authentication.do

(2)以下を入力してください
Fully qualified domain name or common name: SSL証明書のコモンネーム
Order ID: 空欄のままにしてください
Email address: SSL証明書が発行されたメールアドレス
Image number: 画像に表示された数字

(3)「Continue」をクリックすると、選択画面が表示されます。Expiration Dateが一致する証明書の「Request Access」をクリックしてください。

(4)上記で入力したメールアドレスに管理用URLが届きます。
3.管理用URLから再発行を手続きする

(1)メールで届いた管理用URLをクリックします。

(2)右メニューのReissue Certificateをクリック

※「Order Cancel」や「Revoke Certificate」は絶対にクリックしないでください。
 証明書が失効し、使用できなくなります。
 証明書が失効すると、新規取得以外に回復の方法はありません。

(3)List of authorized approvers の下に表示されているメールアドレスのどれかをチェック
   申請承認メールを受け取るメールアドレスの選択になります。

(4)「次へ」をクリック

(5) CSRを入力

(6)「Submit」をクリック
4.申請承認メールが届きますので、記載のリンクをクリックし、承認してください。
5.新しい証明書は、「技術サポート」のメールアドレス宛に届きます。
6.新しい証明書のインストールを行ってください。

※管理ページ等の案内では、再発行に要する時間は1~2日程度とされていますが、実際にはかなり早く完了するようです。
証明書がなかなか送られてこなくても、再発行は完了している可能性があります。
再発行されていれば、管理ページから新しい証明書をダウンロードできます。 一日程度お待ちいただき、まだ送られてこない場合は、以下の手順で確認してみてください。

(1) 再発行と同じ手順でオーダー管理用URLを取得し、アクセスしてください。
(2) 管理用URLで開いたページ左メニューの「View Certificate Information」をクリックしてください。
(3) 証明書の情報が表示されます。「Start Date」が再発行を依頼した日時になっていれば、再発行済です。
(4) 再発行されている場合、同じページから証明書をダウンロードできます。
「Certificate」の項で「Download」をクリックすると、サーバ証明書がダウンロードできます。
「Formats」は、サーバに合わせて適宜選択してください。

Additional Certificates」の方で「Download」をクリックすると中間証明書がダウンロードできます。
※中間証明書は必ずダウンロードし、これまでのものと差し替えて、サーバにインストールしてください。

■ SSL-SECURE.jpでの今後の取り扱いについて
SSL-SECURE.jpでは、デジサート/シマンテック社発行の証明書の取扱を2018年2月28日を持ちまして終了させて頂くことと致しました。
急ではありますが、注文APIの事情により、すでに、ほとんどの証明書については販売を停止しています。
RapidSSLとQuickSSL Premiumのみ、2018年2月28日までお申込み可能ですが、更新期間が1年間のみとなります。
今後は、COMODO社の証明書への移行をご検討頂きますようお願い致します。

ご利用のお客様には、ご迷惑をお掛け致します事深くお詫び致します。


ページ上部へ戻る