● 証明書ライフサイクルへの迅速な対応
● 中間CA証明書の固定登録、ハードコーディングを軽減させ、証明書の入れ替えをより速やかに行えるようにする
● 業界や CA/Browser Forum のガイドラインの変更による中間CA証明書やエンドエンティティ証明書への影響を緩和する
認証局 (CA) は、SSL/TLS 証明書などの証明書を発行するために中間 CA (ICA) 証明書を使用します。中間CA 証明書は、信頼されたルート証明書にリンクし、ブラウザや他のアプリケーションがそれを信頼できるようにします。
下記を行っていない限り、特別な対応は必要ありません
● 旧バージョンの中間CA証明書を固定登録して使用している場合
● 旧バージョンの中間CA証明書の受け入れをハードコーディングして使用している場合
● 旧バージョンの中間CA証明書を採用して運営を行っている場合
上記のいずれかを行っている場合は、なるべく速やかに証明書の固定登録またはハードコーディングから中間CA証明書の随時更新といった方法をご検討いただきますようお願い申し上げます。
新しい中間CA証明書が展開されても、既存の証明書には影響しません。古い中間CA証明書から発行されたすべての証明書の有効期限が切れるまで、古い中間CA証明書を証明書ストアから削除することはありません。これは、置き換えられた中間CA証明書から発行された証明書が引き続き信頼されることを意味します。
すべての証明書について、インストールする際は常に提供された中間CA証明書を含めることをお勧めします。
これは、中間CA 証明書の置き換えが気づかれず、証明書が信頼されていることを確認するために、常に推奨されているベストプラクティスです。
2020年11月2日(US時間)から、DigiCertは以下の中間CA証明書を入れ換える予定で、キーストアや使用中の証明書の固定登録やハードコーディングされたものを更新することを推奨します。
● DigiCert SHA2 Secure Server CA
● DigiCert Baltimore CA-2 G2
● DigiCert Global CA G2
● DigiCert ECC Secure Server CA
● DigiCert Baltimore CA-1 G2
● DigiCert ECC Extended Validation Server CA
● DigiCert Assured ID CA G2
● DigiCert Global CA G3
● DigiCert Extended Validation CA G3
● DigiCert Trusted Server CA G4
● DigiCert High Assurance CA-3
● DigiCert EV Server CA G4
● DigiCert Global Client CA G2
● DigiCert Assured ID CA G3
● DigiCert Baltimore EV CA
● Symantec Class 3 SHA256 Code Signing CA
● thawte SHA256 Code Signing CA
中間CA証明書とルート証明書のコピーをダウンロードするには、DigiCert Trusted Root Authority Certificatesのページをご覧ください。これはアクティブなページで、ルート証明書と中間CA証明書が公開された際に更新されます。
・SSLサーバー証明書
・コードサイニング
その他証明書
・バウチャ(クーポン)
