SSL/TLSコラム

Sectigo クロスルート証明書の有効期限の問題について

1.はじめに

5月30日のSectigo Root証明書の期限切れが原因で、ウェブサイトのサービスが停止したりエラーが発生したりするお客様がいらっしゃいます。

SSL証明書を使用してWebサイトまたはブログを表示したときブラウザにカギマークが表示されていれば、この問題の影響を受けていない可能性が高いため、これ以上の操作を行う必要はありません。
あなたのウェブサイトは、現在のブラウザで正常に機能しています。

Webサイトまたは他のオンラインサービスがAPI、сURL、OpenSSLなどの他のアプリケーションなどを使用している場合、正しく動作していない可能性があります。
サービスの中断やエラーが発生した場合、または訪問者が2015年より前のブラウザーを使用して問題を報告した場合は、サービスを更新するためのアクションを実行する必要があります。

このガイドに従って、サービスが影響を受けているかどうか、およびその修正方法を確認してください。

2.トラブルの原因と影響について

まず、SSL証明書がさまざまなアプリケーションでどのように使用されるかについて説明します。
アプリケーション(例えば、ブラウザー)がSSL / TLSプロトコルを介してWebサービスに接続するときはいつでも、Webサービスは一連のSSL証明書をアプリケーションに提供します。
次に、アプリケーションは、アプリケーションがアクセスしているサービスに対して発行されたこと、証明書の有効期限が過ぎていないこと、および証明書が信頼できる認証局によって署名されたことを確認します。

後者を確認するために、アプリケーションは提供された証明書を、その信頼ストレージに含まれている証明書の1つにリンクしようとします。この信頼ストレージは、オペレーティングシステム、ランタイムシステム、ブラウザ、またはアプリケーション自体と一緒に配布されます。すべてのチェックに合格すると、アプリケーションは安全なプロトコルを介して通信を続行します。そうでない場合、アプリケーションは接続をドロップするか、潜在的なセキュリティの脅威についてユーザーに通知します。

SectigoのAddTrust外部CAルートは、2020年5月30日までの20年間有効であり、レガシーであると見なされていました。
相互認証を使用して、認証局は2010年に新しいルート証明書のペアを発行しました。これは、2038年まで有効であり、レガシールートを置き換えるものです。
新しいルート証明書は、セキュリティ更新を介して、2015年半ばまでにSSL / TLSプロトコルを利用する大部分のソフトウェアアプリケーションに配布されました。

彼らはAddTrust外部CAルートとUSERTrust RSA証明機関またはUSERTrust ECC証明機関中間(2020年5月30日に期限切れ)を含むCAバンドルでこれらの証明書を2020年4月30日まで提供し続け、証明書が可能な限り幅広いユビキタス性を持っています(レガシーを含むほとんどのデバイスとシステムでサポートされています)。

その結果、多くのお客様は、エンドエンティティ証明書(ドメイン名に対して発行された証明書)の前に期限切れになる予定だったCAバンドルと共にSSL証明書をインストールしました。

新しいクロスルート証明書のおかげで、すべての最新のブラウザーには有効期限が切れたルートと新しいルートの両方があり、新しいルート証明書の使用に自動的に切り替えられます。これらのブラウザーを使用するユーザーは、有効期限が切れたため問題は発生しませんでした。

それとは別に、ルート証明書の有効期限が切れても、安全な接続を介して送信されるデータが危険にさらされることはありませんでした。
ただし、さまざまなプログラミング言語のSSL / TLSライブラリやランタイムシステムなど、cURLを使用するブラウザ以外のアプリケーションに関しては、一部は変更に対応できませんでした。

これらのアプリケーションは、SSL証明書を検証するためにカスタムメソッドを使用することがよくあります。オペレーティングシステムの信頼の連鎖を構築する方法に依存していない可能性があり、新しいルート証明書の使用に切り替えることができませんでした。
これらのアプリケーションには、新しいルート証明書がなかったか、証明書パス検証ロジックが壊れていたか、期限切れのルートを明示的に信頼するように設定されていました。

3.ルート証明書の有効期限の問題により影響を受けるクライアント等:

・2015年中頃より前にセキュリティ更新を受信しなかったレガシークライアント
・Apple Mac OS X 10.11(El Capitan)以前
・Apple iOS 9以前
・Google Android 5.0以前
・2010年6月以前からルート証明書の更新機能が無効になっている場合のMicrosoft Windows Vistaおよび7
・2010年6月より前に自動ルート更新を受け取っていない場合のMicrosoft Windows XP
・Mozilla Firefox 35以前
・Oracle Java 8u50以前
・2015年半ばより前からファームウェアアップデートをインストールしていない組み込みデバイス(特にコピーマシン)
・期限切れのルートの1つを明示的に信頼し、オペレーティングシステムまたはベンダーが管理するトラストストアを無視するように構成されたクライアント
バージョン1.1.1より前のOpenSSLライブラリに基づくクライアントソフトウェア
・一部のOpenLDAPクライアント
・デフォルトのトラストストアを使用しないJavaアプリケーション
・cURLツールを使用するクライアント
・PingdomまたはOpsGenieを介してアラートが構成されているクライアント
・影響を受けるクライアントのいずれかがSSL / TLSプロトコルを介して接続しているアプリケーション

有効期限が切れた結果、さまざまなサービスが他のサービスとの安全な接続を開始できなかったり、他のサービスからアクセスできなくなったりします。

4.サービスが影響を受けているかどうかの確認方法について

SSLを通して正しく表示(動作)していれば何も対応は、必要ありません。
正しく動作しない場合は、大変ご面倒をお掛け致しますが以下のご対応をお願いします。

5.問題を修正する方法

正しく動作しない場合は、CA証明書を入れ替えて頂く必要が御座います。
CA証明書は、以下の手順でご入手下さい。

1.会員ページへログイン
2.該当の「Common Name/ドメイン名」をクリック
3.CA証明書欄に表示されている3ブロックすべてをコピーしインストールして下さい。

ページ上部へ戻る