FAQ1:Google/Microsoftが先導する次世代SSL証明書の要件とは?

Q. 2011年1月1日実施要件(鍵長は2048bit以上)

2009年1月にマイクロソフト社から、米国国立標準技術研究所(NIST)の勧告に基づき、2010年末までに次の諸要件につき満足するよう、SSL証明書の発行体(認証局)に対し対応を求めるアナウンスがなされました。

Microsoftルート証明書プログラムについて

  • ● ルート証明書はX.509 Version 3 でなければならない。
  • ● ルート証明書鍵長は2048bit/RSA以上とすること。
  • ● 1024bit/RSA鍵長のエンドSSL証明書の発行も認めない。
  • ● ルート証明書のハッシュ関数はSHA-1 以上とし、MD 2 , MD 4 あるいはMD 5の利用は認めない。(中間証明書およびエンド証明書においては、2009年1月15日をもってMD 2 , MD 4 あるいはMD 5 のハッシュ関数の利用は停止する。)
  • ● 中間認証局含め認証チェイン上の全ての認証局はWeb Trustあるいはそれと同等と認められる国際規格の監査証書を取得すること。

Q. 2017年1月1日実施要件(ハッシュ関数のSHA-2への移行)

Google Chrome・Microsoft IE・Mozilla Firefox等主要ブラウザによるSHA-1証明書(ルート証明書は対象外)が設定されているサイトへの「接続拒否(全画面がBlockingされます)」は、予定通り2017年1月1日をもって実施済ですので、未設定のお客様は早期にSHA-2証明書(中間証明書含む)への置換・更新を完了してください。

接続拒否画面例(Google Chrome)

接続拒否画面例(Google Chrome)

スターフィールドSSL SHA-2証明書は、主要クライアント端末(PC・スマホ・タブレット)に対応済です。詳細はこちらをご覧ください。

お客様環境の各種クライアント( PC /スマホ・タブレット)が、スターフィールドSSL SHA-2証明書に対応済であることを確認するには、以下よりジェイサートTOPページへ遷移してください。
※エラーメッセージなくアクセスできれば、スターフィールドSSL SHA-2証明書に間違いなく対応しております。

ジェイサートTOPページへ

また、スターフィールドSSLでは、発行済SHA-1証明書のSHA-2 へのアップグレードを、無償再発行にて行っております。

注意事項

大規模システムの複数サーバ上で単一証明書を共用されているお客様は、再発行前証明書(現行証明書)が再発行後72時間で自動失効してしまう「リキー」によるのではなく、現行証明書をその有効期限まで継続利用できる「新規ライセンス」を別途重複してご購入のうえハッシュ関数変更を目的とした証明書の置換をご検討ください。

ジェイサートにお問い合わせはこちら

Q. 2017年1月1日以降は、例外なくSHA-1での証明書発行(リキー・ドメイン追加再発行含む)は不可?

残念ですが、2017年1月1日以降、マイクロソフトポリシに準じ、業界団体CA Browser Forumに加盟するすべての正規認証局では、例外なく、SHA-1での証明書発行(リキー・ドメイン追加再発行含む)は出来ない、こととなっております。

FAQ一覧へ戻る