JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト


サーバー証明書発行サービスについてのお知らせ

JPRSサーバー証明書発行サービスをご利用中のみなさまへ
- 中間CA証明書の切り替えに伴う、サーバー証明書の再発行・入れ替えのお願い -

2020/08/05 公開
2020/09/30 更新
株式会社日本レジストリサービス(JPRS)
概要

2020年7月、JPRSサーバー証明書発行サービスにおいてサーバー証明書の発行に使っている中間CA証明書(G3)にセキュリティリスクが存在することが、外部からの指摘により判明しました。

これにより、現在みなさまにご利用いただいているサーバー証明書のうち、指摘された中間CA証明書(G3)を使って発行されたサーバー証明書が有効期間の満了前にご利用いただけなくなることから、対応期限(※)までに更新するか、再発行を行っていただく必要がございます。 現時点で再発行が必要であると確定しており、お手続きが必要なサーバー証明書の利用者に対しては、購入先よりご連絡させていただく予定です。なお、指摘されたセキュリティリスクについては既に対応を完了しており、2020年7月29月以降にJPRSから発行されたサーバー証明書につきましては、再発行の必要はございません。
※2020年9月30日現在、該当するサーバー証明書がご利用いただけなくなる期限日は調整中であり、利用者側での対応期限は未定となっております。確定次第、本ページにてお知らせいたします。

詳細については以下をご覧ください。

利用者のみなさまにはご心配・ご迷惑をおかけいたしますが、適宜ご対応いただけますようお願い申し上げます。

平素よりJPRSサーバー証明書発行サービスをご利用いただき、誠にありがとうございます。


2020年7月2日、Mozillaコミュニティのフォーラムにおいて、JPRSの上位認証局であるセコムトラストシステムズを含む14の認証局が発行した中間CA証明書について、セキュリティリスクが存在する旨の懸念が指摘されました[*1]。


[*1]
議論の状況は、こちらで参照いただけます。
https://groups.google.com/forum/#!msg/mozilla.dev.security.policy/EzjIkNGfVEE/XSfw4tZPBwAJ

その後の議論・協議の結果、JPRSでは指摘されたセキュリティリスクの解消を目的とし、サーバー証明書発行サービスにおいて提供中の中間CA証明書の切り替え(中間CA証明書(G4)の新規発行、及び中間CA証明書(G3)の失効)を実施することといたしました。


中間CA証明書(G3)の失効後、みなさまにご利用いただいている当社発行のサーバー証明書の一部が、ご利用いただけなくなります[*2]。


[*2]
中間CA証明書(G3)の失効日につきましては現在調整中です。なお、失効までの期間、サーバー証明書は継続してご利用いただけます。

それに伴い、対象となるサーバー証明書について、再発行・入れ替えに関する作業を実施いただく必要がございます。該当する利用者のみなさまには大変ご迷惑をおかけいたしますが、作業へのご理解とご協力をよろしくお願い申し上げます。


また、今回のサーバー証明書の再発行・入れ替えに際し、新規発行された中間CA証明書(G4)の入手、及び現在ご利用中の中間CA証明書(G3)との入れ替えの作業も必要になります。それらを含む作業の手順につきましては、以下の「3. 必要な作業手順」をご参照ください。


なお、再発行・入れ替えに伴う具体的な作業の内容・作業の時期等につきましては、当該サーバー証明書を購入された事業者・ご利用中のWebサービス等を提供する事業者により異なります。詳細につきましては、各事業者に適宜ご確認ください。

(2020年8月14日追記)
本件に関する、よくあるご質問とその回答を公開いたしました。


  中間CA証明書(G4)への切り替え、サーバー証明書の再発行・入れ替えに関するよくあるご質問とその回答
  https://jprs.jp/pubcert/info/notice/20200814-certificate-reissue_3.html


<本件に関するお問い合わせ先>

    メールでのご質問 info*jprs.jp

    お電話でのご質問 03-5215-8451 (受付時間:9:00-18:00 土日祝祭日・法律に定める休日及び12月29日~1月3日は除く)


  • スパムメール防止のため、「@」を「*」と表示しております。
  • メールを送られる際には、「*」を「@」に直して入力してください。

<本文書の内容>

  1. 対象となるサーバー証明書
  2. ご利用中のサーバー証明書の確認方法
  3. 必要な作業手順
  4. 再発行されたサーバー証明書の有効期間について
  5. 参考:今回の指摘内容と対応状況

   5.1 今回の指摘内容

   5.2 各認証局における対応状況

   5.3 JPRSにおける対応状況


1. 対象となるサーバー証明書


本件において、再発行・入れ替えの対象となる可能性があるサーバー証明書は、以下の通りです。


 ・以下の二つの条件に該当するサーバー証明書

  (1)JPRSが発行したサーバー証明書である

  (2)証明書の発行日が、2019年8月1日から2020年7月28日までである


具体的な内容につきましては、対象が確定した時点で別途お伝えします。


2. ご利用中のサーバー証明書の確認方法


ご利用中のサーバー証明書の確認方法につきましては、以下の補足資料「ご利用中のサーバー証明書の確認方法」をご参照ください。


補足資料:ご利用中のサーバー証明書の確認方法
https://jprs.jp/pubcert/info/notice/20200805-certificate-reissue_2.html


3. 必要な作業手順


対象となるサーバー証明書をご利用いただいている場合、以下の4ステップの作業が必要になります。


 ・手順1:サーバー証明書の再発行

 ・手順2:中間CA証明書(G4)の入手

 ・手順3:サーバー証明書、及び中間CA証明書の入れ替え

 ・手順4:ご利用を終了したサーバー証明書の失効(任意)


なお、再発行・入れ替えに伴う具体的な作業の内容は、当該サーバー証明書を購入された事業者・ご利用中のWebサービス等を提供する事業者により異なります。詳細につきましては、各事業者に適宜ご確認ください。


以下、それぞれの作業の概要についてご説明します。


 ・手順1:サーバー証明書の再発行


 新しいサーバー証明書を再発行します。


 再発行の手順は、サーバー証明書を購入された事業者により異なります。詳細につきましては、各事業者にご確認ください。


 ・手順2:中間CA証明書(G4)の入手


 手順1で発行したサーバー証明書と共に設定・利用する、中間CA証明書(G4)を入手します。中間CA証明書(G4)は以下のWebページより、ダウンロードいただけます。


ルート証明書・中間CA証明書について | JPRS
https://jprs.jp/pubcert/service/certificate/


 ご利用中のサーバー証明書の種類(DV・OV)に合わせて、「サーバー証明書の発行日が2020年7月29日以降の場合(中間証明書(G4))」で公開されている中間CA証明書をダウンロードください。


 ・手順3:サーバー証明書、及び中間CA証明書の入れ替え


 ご利用中のサーバー証明書と中間CA証明書を、手順1・手順2で再発行・入手したものに入れ替えます。


 入れ替えの方法につきましては、各事業者やWebサーバーソフトウェアベンダーが提供するマニュアル、JPRSが提供する以下の設定マニュアルなどを、適宜ご参照ください。


 設定マニュアル | JPRS
https://jprs.jp/pubcert/service/manual/


 ・手順4:ご利用を終了したサーバー証明書の失効(任意)


 ご利用を終了したサーバー証明書を失効します。


4. 再発行されたサーバー証明書の有効期間について


JPRSでは、2020年8月20日にJPRSサーバー証明書発行サービスに関する規則を改訂いたします。


JPRSサーバー証明書発行サービスに関する規則の改訂について(改訂主旨)
https://jprs.jp/pubcert/info/notice/20200803-pubcert-agreement.html


本改訂により、2020年8月20日以降に当社が発行(本件に伴う再発行を含む)するサーバー証明書について、以下が実施されます。


  • 「一括」支払で有効期間「2年」の証明書の発行を終了
  • 「月額」支払で発行する証明書の有効期間を変更(2年→1年)
  • 乗換オプションの提供終了

そのため、2020年8月20日以降、本件に伴うサーバー証明書の再発行により、現在ご利用中のサーバー証明書の有効期間が短縮される場合がございますので、ご注意ください[*3]。


[*3]
例えば、2022年4月30日に有効期間が満了するサーバー証明書を2020年9月1日に再発行した場合、当該サーバー証明書の有効期間は再発行から1年後の末日(翌年同月の末日)である、2021年9月30日となります。

5. 参考:今回の指摘内容と対応状況


参考情報として、今回の指摘内容と各認証局における対応状況、及び本件におけるJPRSの対応状況についてご説明します。


5.1 今回の指摘内容


従来、複数の認証局において中間CA証明書の用途(Extended Key Usage:EKU)としてOCSP応答への署名を含める運用が行われており、JPRSが使用する中間CA証明書も、それに従う形で発行されておりました。


今回、本件について、当該用途を中間CA証明書の用途に含めた場合、その中間CAの秘密鍵を保有する者は、その中間CA証明書を発行した上位認証局が発行した証明書についてのOCSP応答を作成可能になり、結果としてそれらの証明書の失効情報を恣意的に作成可能となる旨の懸念が指摘されました[*4]。


[*4]
JPRSの上位認証局であるセコムトラストシステムズによると、OCSP応答への署名が用途に含まれたWebサーバー用の中間CA証明書はJPRS認証局(G3)以外には発行していないとのことです。また、JPRSサーバー証明書発行サービスでは、CAの機能のうち発行局(IA)の機能に関しては、中間CAの秘密鍵の管理を含め、上位認証局であるセコムトラストシステムズが運用しております。そのため、JPRSでは中間CAの秘密鍵を保有しておらず、セコムトラストシステムズを上位認証局とする他社認証局の証明書のOCSP応答を作成することはできません。


図1:偽のOCSP応答を作成する例

5.2 各認証局における対応状況


本件の取り扱いに関し、当該フォーラムにおける議論の結果、指摘を受けた各認証局において、対象の中間CA証明書で使用されている鍵ペアを破棄し、指摘された項目を修正した中間CA証明書を新たに発行・切り替える計画(今回のJPRSにおける対応と同じ内容)の検討・対応が進められています。



図2: 現在進められている対応内容

5.3 JPRSにおける対応状況


JPRSでは、本件における証明書の利用者のみなさまへのご負担を最小限に留めることを目的とし、2020年7月10日に中間CA証明書の更新(再発行)を実施いたしました。


その後、当該フォーラムにおける議論、及びルート認証局を運営するセコムトラストシステムズの担当者を交えた協議の結果、今後もコミュニティから信頼される認証局として、利用者の皆様へのサービス提供を継続できるように万全を期すべく、指摘された項目を修正した中間CA証明書(G4)を新規発行・提供し、現在提供中の中間CA証明書(G3)(2020年7月10日に再発行した中間CA証明書(G3)も含む)の失効を実施することといたしました。


<更新履歴>
2020/08/14 よくあるご質問とその回答の公開・リンクを追記
2020/09/01 技術的内容の修正・明確化
2020/09/07 冒頭に概要及び最新情報を追記、その他一部デザインなど軽微な修正
2020/09/30 利用者側での対応期限に関する調整状況に変更がないことを受け更新