RapidSSLにおける2010年の仕様変更(公開鍵長など)のご案内

お知らせ

お客様各位

RapidSSL では、2010年後半におきまして、暗号アルゴリズムの安全性の維持・向上を目的として、RapidSSL, RapidSSLワイルドカード(以下、RapidSSL証明書と表します)の仕様変更を行います。
この仕様変更は、「暗号アルゴリズムにおける2010年問題(※1)」への対策の一つとして、対象製品において利用中の公開鍵長をRSA2048bit以上へ移行することを目的とした取組みです。
尚、お客様が現在ご利用中の、RSA1024bitの公開鍵を利用して発行済みのRapidSSL証明書は、原則として有効期限を迎えるまでご利用頂くことが可能です。
※1 : 「暗号アルゴリズムにおける2010年問題」とは 暗号アルゴリズムの安全性は、コンピュータの性能向上および暗号解読技術の進展により、徐々に低下していくことが避けられません。例えばNIST(米国標準技術研究所) では、現在利用されている米国政府使用の暗号技術(暗号アルゴリズム)を、2010年末までにより安全なアルゴリズムへ移行させる方針を打ち出しています。セキュリティの観点からは、より安全な暗号アルゴリズムへ早急に移行することが望ましい一方で、SSL/TLS通信に支えられる情報システムの安全性・可用性を損なうことなく移行するためには、企業システムの改修にかかるコストの問題や、組込み機器における実装上の制約など、多くの課題が存在します。この「移行」に伴う問題が一般的に「暗号アルゴリズムにおける2010年問題」、または「2010年問題」と呼ばれています。

  1. 仕様変更の理由 米国NISTでは、米国連邦政府機関の情報システムについて、計算機性能の向上や脆弱性の問題などを考慮し、安全性確保の観点から2010年末を期限にRSA1024bit鍵長の利用を中止する方針を示しています。 RapidSSLではこれらの技術動向を踏まえ、RapidSSL証明書について、以下の通りRSA2048bit以上の鍵長への移行を行うことを決定いたしました。
  2. 仕様変更の対象となる製品 ・RapidSSL ・RapidSSLワイルドカード
  3. 仕様変更の日程 2010年 後半 (7月~12月の間) を予定しております。 仕様変更日時の詳細について確定次第、あらためて当Webページへの掲載をさせて頂きます。
  4. 仕様変更の内容 対象製品において利用中の公開鍵長について、それぞれ以下に示す方法でRSA2048bitへの移行を行います。
    • RapidSSL (End-Entity証明書)

    RapidSSL証明書申請時にご提出頂くCSR(証明書署名要求)の鍵長について、RSA2048bitを下限として受付けさせて頂くよう、仕様変更を行います。 仕様変更後にRapidSSL証明書を申請頂く際には、CSRの鍵長をRSA2048bit以上として頂く必要がございます。 ※ 仕様変更以前に発行されたRSA1024bit公開鍵を利用したRapidSSL証明書は、原則として有効期限を迎えるまでご利用頂くことが可能です。 ただし、各証明書の有効期限に対して十分な安全性を満たしていないとRapidSSLが判断した場合には、証明書の再発行により十分な鍵長へ変更いただくよう、ご案内を差し上げる場合がございます。 2009年2月以降弊社よりお求め頂いたお客様は、無償で有効期間内の証明書再発行が可能です。

  5. 中間認証局証明書
  6. 仕様変更後に発行されるRapidSSL証明書をお客様のサーバ環境に導入頂く際には、新たに必要な作業として、中間認証局証明書(公開鍵長 RSA2048bit)を併せて導入頂く必要があります。新しい中間認証局証明書は、仕様変更に先立って、順次公開させて頂きます。 ※ 現在の製品仕様では、階層構造が2階層であるため、中間証明書の導入は不要でございました。お客様におかれましては、中間証明書のサーバへの導入方法などを事前にご確認頂くことをお勧めいたします。
  7. ルート証明書
  8. 仕様変更後に発行されるRapidSSL証明書は、RSA2048bitのルート証明書によって検証されます。ブラウザなどのクライアント環境には、RSA2048bitのルート証明書が導入されていることが必要となります。 RSA2048bitの公開鍵を持つRapidSSL証明書のルート証明書は、既に多くのブラウザ環境に導入されています(※1)。また「クロスルート」という方式を採用することで、クライアント環境の対応率への影響を最小限に抑えます(※2)。 ※1 :ルート証明書は、ブラウザなどのクライアント環境にあらかじめ組込まれ、SSLサーバ証明書が正しい認証機関から発行されたものであるか検証を行うために利用されます。 ※2 :仕様変更後のPCブラウザや携帯電話などの対応状況については、仕様変更に先立って順次Webサイトへ公開させて頂きます。 対象各製品の仕様変更の内容の詳細について確定次第、あらためてご連絡させて頂きます。
  9. 仕様変更による影響について 多くのサーバやSSLアクセラレータ、またブラウザや携帯電話などのクライアント環境は、既にRSA2048bitに対応していることが確認されております。しかしお客様がご利用中の機器やシステム構成によっては、RSA2048bitへ未対応であるなどの理由で、SSL通信が出来なくなるなどの影響を与える可能性がございます。 影響について不明な点がございましたら、各機器やシステムの開発元へ事前にご確認を頂けますよう、お願い申しあげます。

―――――-
RapidSSL正規販売ストラテジックパートナー Rapid-SSL.jp
合資会社ショップねっと SSL証明書担当

  • このエントリーをはてなブックマークに追加