全てのパートナー様に該当する可能性のある 重要なお知らせです 2015 年 8 月 28 日 パートナー各位 合同会社シマンテック ウェブサイトセキュリティ SSL サーバ証明書における階層構造オプションの追加 および DNS Certification Authority Authorizatio

■■■全てのパートナー様に該当する可能性のある■■■ ■■■ 重要なお知らせです ■■■ ─────────────────────────────────── _{2015 年 8 月 28 日} パートナー各位 合同会社シマンテック・ウェブサイトセキュリティ SSL サーバ証明書における階層構造オプションの追加、 および DNS Certification Authority Authorization(CAA)対応について

平素より弊社製品の販売支援をいただき、誠にありがとうございます。

このたび弊社では、現在提供しております ECC 対応版、および SHA-2 対応版 SSL サーバ証明書において、従来とは異なる証明書の階層構造(または、検証

チェーン_{)を選択できるオプション(無償)を追加いたしますのでご案内申し上げます。} また、弊社ではシマンテック、およびジオトラストブランドにおいて、

ので、併せて案内申し上げます。 シマンテックでは、引続きサービス改善に努めて参りますので、 今後ともご愛顧賜りますようお願い申し上げます。 記 1. SSL サーバ証明書における階層構造オプションの追加 1-1. [ECC 対応版 SSL サーバ証明書] より普及した RSA ルート証明書へチェーンする階層構造オプション ■適用日 2015 年 9 月 2 日(水) ■対象システム シマンテック ストアフロント SSL-API ■対象製品 上記対象システムから発行する以下製品

・シマンテック グローバル・サーバ ID ・シマンテック グローバル・サーバ ID EV ■概要 RSA 鍵を用いたより普及したルート証明書(*1)へチェーンする ECC 対応版 SSL サーバ証明書のオプション（ECC/RSA ハイブリッドタイプ）の提供を開始いたします。 従来の ECC 鍵を用いた次世代のルート証明書(*2)にチェーンする ECC 対応版 SSL サーバ証明書(ECC ピュアチェーンタイプ）に比べて、クライアント端末との

互換性に優れ、Mac OS X、iOS ならびに Android 2.x でも SSL/TLS 通信が可能となります。 (*3)

*1 : RSA 鍵を用いたより普及したルート証明書

「VeriSign Class 3 Public Primary Certification Authority - G5」

*2 : ECC 鍵を用いた次世代のルート証明書

「VeriSign Class 3 Public Primary Certification Authority - G4」

*3 : FAQ 「ECC、DSA 対応版 SSL サーバ証明書 対応状況」 https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO23050 ECC 対応版 SSL サーバ証明書とは・・・ シマンテックでは、ますます高度化が進むサイバー脅威に先んじるために、

2013 年より ECC（Elliptic Curve Cryptography：楕円曲線暗号）オプションを 提供させていただいております。現在主流として利用される RSA 2048 ビット鍵に 比べて解読が約 10,000 倍程度困難である 256 ビット ECC 対応版 SSL サーバ証明書を ご利用いただくことで、セキュリティ向上のみならず、Web サーバの CPU にかかる 負荷が大幅に軽減(*)されるなど、サーバ運用にかかるコストを抑えることが 可能です。 * : 導入事例 株式会社ディレクターズ様 https://www.jp.websecurity.symantec.com/ssl/casestudies/directorz/ 1-2. [SHA-2 対応版 SSL サーバ証明書] SHA-256 で自己署名したルート証明書へチェーンする階層構造オプション ■適用日 本日より ■対象システム シマンテック ストアフロント シマンテック セキュア・サーバ ID ワイルドカード専用申請フォーム ジオトラスト ストアフロント パートナ専用 GeoCenter SSL-API

■対象製品 上記対象システムから発行する以下製品 ・シマンテック セキュア・サーバ ID ・シマンテック セキュア・サーバ ID ワイルドカード ・シマンテック セキュア・サーバ ID EV ・シマンテック グローバル・サーバ ID ・シマンテック グローバル・サーバ ID EV ・ジオトラスト クイック SSL プレミアム ・ジオトラスト トゥルービジネス ID ・ジオトラスト トゥルービジネス ID ワイルドカード ・ジオトラスト トゥルービジネス ID with EV ・ラピッド SSL ワイルドカード ■概要 現在ご提供しております「SHA-2 対応版 SSL サーバ証明書」では、クライアント 端末との互換性を最大化するため RSA SHA-1 で自己署名されたルート証明書(*4)へ チェーンする階層構造を採用しています。 今回これに加えて、SHA-256 で自己署名されたルート証明書(*5)へチェーンする 階層構造のオプション（SHA-2 フルチェーン）を提供いたします。 これにより「ルート証明書の自己署名」を含め、全てのコンポーネントに対して SHA-1 の利用停止ならびに SHA-2 の採用を必須とする要件への対応を可能とします。(*6)

*4 : RSA SHA-1 で自己署名しているより普及したルート証明書 ｼﾏﾝﾃｯｸ：VeriSign Class 3 Public Primary Certification Authority - G5

ｼﾞｵﾄﾗｽﾄ：GeoTrust Global CA、または GeoTrust Primary Certification Authority

*5 : RSA SHA-2 で自己署名した次世代のルート証明書 ｼﾏﾝﾃｯｸ：VeriSign Universal Root Certification Authority ｼﾞｵﾄﾗｽﾄ：GeoTrust Primary Certification Authority – G3 *6 : 米国 NIST ガイドラインへの厳格な準拠を要する政府機関、金融機関などへの対応 尚、通常のブラウザ(PC ブラウザ、モバイル含む)においては、「ルート証明書の 自己署名」に SHA-1 を継続的に利用することが明示的に許容されています。 1-3. ご参考 ■取得方法について <ストアフロントから発行された証明書の場合> 適用日以降、ユーザポータルから「再発行」にて当該オプションを選択の上、 再発行してください。手順は以下をご参照ください。 https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO23461 <SSL-API 経由で申請する場合> 新規、更新、再発行申請時に、証明書の該当するオプションから選択してください。

詳細は、「SSL-API 技術仕様書]、サポートページ等で順次ご案内いたします。 ■対応プラットフォームについて FAQ 「ECC、DSA 対応版 SSL サーバ証明書 対応状況」 https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO23050 ■中間 CA 証明書ダウンロードサイト https://www.jp.websecurity.symantec.com/repository/intermediate.html（※順次公開予定） ※証明書階層構造オプションをご利用になる場合は、 適切な中間 CA 証明書をインストールする必要があります。

2. CAA (DNS Certification Authority Authorization)対応について

■適用日 2015 年 9 月 15 日(火)ご申請分より順次 ■対象システム シマンテック ストアフロント シマンテック セキュア・サーバ ID ワイルドカード専用申請フォーム ジオトラスト ストアフロント パートナ専用 GeoCenter

SSL-API ■対象製品 上記対象システムから発行する以下製品 ・シマンテック セキュア・サーバ ID ・シマンテック セキュア・サーバ ID ワイルドカード ・シマンテック セキュア・サーバ ID EV ・シマンテック グローバル・サーバ ID ・シマンテック グローバル・サーバ ID EV ・ジオトラスト クイック SSL プレミアム ・ジオトラスト トゥルービジネス ID ・ジオトラスト トゥルービジネス ID ワイルドカード ・ジオトラスト トゥルービジネス ID with EV ・ラピッド SSL ワイルドカード ■概要

DNS Certification Authority Authorization（以下「CAA」）とは、ドメイン名の

所有者／管理者が DNS サーバを用いて、自らが所有/管理するドメイン名に対して証明書 の 発行を許可する認証局を指定することが可能になる仕組みです。DNS に CAA レコードを 指定することで、ドメイン名の所有者／管理者は、自らが管理するドメイン名に対して、 意図しない認証局から証明書が発行されるリスクを低減することが可能になります。

CAA は IETF RFC 6844 draft として策定されました。また CA／ブラウザフォーラムが定める 業界基準文書「Baseline Requirements Certificate Policy for the Issuance and

Management of Publicly-Trusted Certificates」（以下「BR」）では、パブリック認証局に 対して、CPS（認証局運用規定）に CAA へのサポートに関する宣言を公開することを義務 付けています(*7)。このたびシマンテックでは、こうした動向を踏まえて CAA への サポートを開始いたします。

*7 : BR Section 2.2. PUBLICATION OF INFORMATION

_{https://cabforum.org/baseline-requirements-documents/} ■対応内容 当リリース以降に対象システムを通じて申請いただいた SSL サーバ証明書の ご申請に対して、弊社による申請の承認時に、シマンテックにてお客様の DNS ゾーンファイル内の CAA レコードを確認(*8)いたします。 ご申請手順や、証明書インストール手順、またはクライアント端末への影響はございま せん。 *8 : DNS ゾーンファイル内に CAA レコードが存在しないことが確認された場合、 これまでと同様に認証完了後、SSL サーバ証明書を発行いたします。 詳細につきましては、FAQ に随時公開いたします。

FAQ 「Certification Authority Authorization (CAA)」

https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO28149

3. 本件に関するお問合せ先 パートナープログラム事務局 電話番号： 03-5114-4796 メールアドレス： [email protected] 以上 ────────────────────────────────── 合同会社シマンテック・ウェブサイトセキュリティ _{パートナー営業部} パートナープログラム事務局 電話番号 _{: 03-5114-4796 FAX 番号 : 03-6368-9578} メールアドレス _{: [email protected]} ────────────────────────────────── Copyright (C) Symantec Website Security G.K. All rights reserved.