Entrust の無効化に関する FAQ

Google は、決定の発表の中で次のように述べています。

「過去数年にわたり、公表されたインシデントレポートにおいて、Entrust 証明書の挙動が上記の期待を満たさずに懸念される傾向が目立っており、Entrust は公的に信頼される認証局オーナーとしての能力、信頼性、完全性に対する信用を失墜させました」

そして、次のように続けています。

「認証局（CA）は、インターネットにおいて、ブラウザとウェブサイト間の暗号化された接続を支えるという特権的で信頼される役割を担っています。この極めて大きな責任に伴い、セキュリティとコンプライアンスに関して、コンセンサスに基づく合理的な期待に応えることが求められます。この期待には、CA/B フォーラムの TLS ベースライン要件で定義された規定も含まれます。

過去 6 年間にわたり、コンプライアンス違反、改善の約束の未達成、そして、公表されたインシデントレポートへの対応において目に見える具体的進捗がないという傾向を、当社は観察してきました。これらの要因を、公的に信頼される各認証局がインターネットエコシステムにもたらす内在的リスクに照らして総合的に考慮した結果、Chrome で Entrust を引き続き信頼するための正当な根拠はなくなったという見解に達しました」

すべての Chrome ユーザーが最終的にインストールすることになる Google Chrome の 11 月 12 日 Stable 版から、Entrust ルートによって発行されたパブリック TLS 証明書で、SCT（Signed Certificate Timestamp）が 2024 年 11 月 12 日以降のものは、Chrome で信頼されなくなります。

SCT の日付が 2024 年 11 月 11 日以前の Entrust TLS 証明書は、証明書の有効期間中は有効となります。ただし、当該証明書を修正、鍵再生成、または更新した場合、その証明書は無効化されます。 

Apple が 2024 年に公開したサポートドキュメントには、指定日をもって新規発行の証明書が無効化される特定の認証局とルートが記載されています。多くの Entrust ルート証明書が 2024 年 11 月 15 日をもって無効化されることが明記されています。TLS 証明書、S/MIME 証明書、タイムスタンプ証明書、および BIMI（Brand Indicator for Message Identification）証明書が影響を受けます。 

なお、影響を受ける証明書は Apple の信頼されたルートの一覧にまだ記載されていることに留意してください。これは、2024 年 11 月 15 日よりも前にこれらのルートを使用して発行された証明書は引き続き信頼されるためです。Apple は個別のロジックを適用し、指定日以降に発行された証明書のみを無効化しています。 

Apple は影響を受ける製品を指定していませんが、すべての Apple 製品は各製品のルートストアを使用しなければならないため、Safari、Apple Mail、および iOS や iPadOS で実行されるアプリを含むすべての PKI クライアントが影響を受けることを前提とするのが妥当でしょう。

Mozilla は、新規発行される Entrust ルート証明書を、2024 年 12 月 1 日をもって無効化することを発表しました。SCT の日付が 2024 年 11 月 30 日以前の Entrust TLS 証明書は、証明書の有効期間中は有効となります。ただし、当該証明書を 12 月 1 日以降に修正、鍵再生成、または更新した場合、その証明書は Firefox で無効化されます。 

Microsoft は、この件に関して何も発表していません。

できるだけ早く、証明書の正確なインベントリを使用して移行戦略のプランニングを開始することをお勧めします。証明書の無効化により、すでに業務停止が発生しているお客様もいらっしゃるかもしれません。必要な作業としては、各証明書の有効期限の確認、関連するサービスのリスクプロファイルの評価、移行プロセスのプランニングなどがあります。移行計画を開始するために、今すぐデジサートにお問い合わせください。

お客様のインフラストラクチャに接続して、お客様の環境で証明書をスキャンし、検出する各種ツールがあります。Entrust のお客様の場合は、Entrust のコンソールで支援用ツールをお探しください。

デジサートのお客様は、DigiCert^® Trust Lifecycle Manager（TLM）と DigiCert CertCentral^® を使用して環境を評価し、移行が必要な Entrust 証明書を特定することができます。スキャンと検出についてお手伝いが必要な場合は、デジサートにご相談ください。

新しい証明書の取得は簡単で、お客様側で必要な対応を迅速に行っていただければ、短時間で完了します。お客様のドメインの認証に数秒かかり、次にお客様の組織の認証に数分かかります。ほとんどの場合、新しい証明書の取得プロセス全体はごく短時間で完了します。

企業認証（OV）は 2 年間有効です。デジサートでの認証が完了したら、ドメイン認証（DV）を完了するだけです。つまり、その後の証明書要求もごく短時間で完了するということです。

いいえ。デジサートは、Entrust による企業認証や EV 認証を置き換えるために、独自の認証プロセスを実行する必要があります。

はい。DV（ドメイン認証）証明書の場合、デジサートが認証するのはドメインのみです。これは数秒で完了します。お客様には簡単な操作を実行していただく必要があります。

デジサートとその認証局（CA）事業をデジタルトラストのリーディングプロバイダーとして際立たせている 3 つの原則があります。

第一に、デジサートは、明確に定義されたプロセスを厳守し、リスク軽減のために特別に開発された PKILint などのツールを使用しています。

第二に、CA/B フォーラムと緊密に連携して、迅速かつ透明性をもって問題に対応しています。問題が発生した場合、速やかに解決に努めます。

第三に、デジサートは標準化団体に積極的に参加しています。標準に準拠するのみならず、業界の利益のために標準を進化させる活動を後押ししています。

デジサートは、このインシデントの発生時に当社の証明書が無効化されるリスクは一切なかったと考えています。その理由は、デジサートがエラーを把握すると直ちに問題を報告し、お客様および主要なブラウザベンダーと連携して、要求されるタイムラインに従い、影響を受ける証明書の置き換えが進むように対処したためです。

Entrust の無効化の発表において、Google は「事態が良い方向に進まないときに、継続的な改善につながることが裏付けられた、有意義で明白な変更に認証局オーナーが取り組むことを、当社は期待しています」と述べました。デジサートは、可能な限り速やかにそうした変更を行うことに全力を注ぎ、Chrome のグループおよび他のブラウザベンダーと緊密に連携し、お客様の混乱をできるだけ最小限に抑えながら協力してエラーを修正しました。

CA/B フォーラムは、認証局の信頼とその無効化について決定を下しません。こうした決定を下すのは、証明書を利用するアプリケーションベンダー、つまり圧倒的に大規模なブラウザベンダー（特に Google Chrome）です。

こうした問題について協議する Bugzilla フォーラム（CA Program）が開設され、公開されています。フォーラムでの個々の主張には注意を払ってください。個人の意見が異なり、多くの場合、参加者の間でコンセンサスが成立するのに時間がかかるためです。

影響を受けた証明書は、Entrust ルート証明書にチェーンする TLS 証明書のうち、発行日が 2024 年 11 月 12 日以降のもののみです。

Apple の発表では、Entrust ルートによって発行された TLS 証明書、S/MIME 証明書、タイムスタンプ証明書、および BIMI（Brand Indicator for Message Identification、別名「認証マーク」）証明書の無効化に焦点が当てられています。どの機能のどのルート証明書が無効化されるかが記載された一覧については、発表を参照してください。 

しかし、その他の Entrust 証明書製品を置き換えたいお客様もいらっしゃるでしょう。その場合も、デジサートは S/MIME 証明書、コードサイニング証明書、ドキュメントサイニング証明書、認証マーク/コモンマーク証明書、その他のタイプの PKI ベース証明書のセキュリティを管理するためのソリューションをご用意しています。

DigiCert Trust Lifecycle Manager が、お客様の既存のアーキテクチャと連携し、エンタープライズ PKI に大規模に対応します。Trust Lifecycle Manager では、DigiCert や Entrust の証明書だけでなく、どんな TLS/SSL ソースによって発行された証明書も検出できます。デジサートではパブリック PKI とプライベート PKI の両方を自動化でき、Trust Lifecycle Manager はセキュアなワークフォースマネジメントプラットフォームを提供します。そのため、お客様はロールベースのアクセスコントロールを簡単に実装できます。

デジサートは、この事案の影響を受ける一部のお客様向けにインセンティブをご用意しています。詳細についてはお問い合わせください。

お客様が影響を受けている場合、現在のバージョンの Chrome、Safari、Firefox を使用してお客様のサイトにアクセスしようとすると、エラーが発生します。お持ちの証明書がどのような証明書なのか、また、発行者が誰なのかわからない場合は、暗号化資産のインベントリ作成を実行する必要があります。デジサートはインベントリ作成をお手伝いいたします。個別の移行プランや新しい Entrust Discovery Connector の使用に関するサポートについては、こちらからお問い合わせください。

11 月 12 日よりも前に発行された Entrust TLS 証明書の場合、緊急の問題はありません。ただし、これらの証明書の有効期限が近づいたら、デジサートなどの信頼されているパブリック認証局が発行する TLS 証明書に置き換える必要があります。

Chrome と Firefox の発表では、Entrust TLS 証明書の無効化についてのみ言及されています。Apple の発表では、Entrust ルートの TLS 証明書、S/MIME 証明書、タイムスタンプ証明書、および BIMI（Brand Indicator for Message Identification）証明書の無効化について述べられています。どの機能のどのルート証明書が無効化されるかが記載された一覧については、Apple の発表を参照してください。

Entrust 証明書を無効化することを発表したのは、Google と Mozilla のみです。

Google と Mozilla Root Programs の決定は、Entrust ルートによって発行されたパブリック TLS 証明書で、SCT（Signed Certificate Timestamp）が 2024 年 11 月 12 日以降のものが対象になります。Entrust によって発行されたコードサイニング証明書や S/MIME 証明書など、その他のパブリック証明書は、現時点でこの決定の対象になっていません。

貴社の法律顧問に相談していただく必要があります。

無効化の事案の発生時にお客様の移行を支援した経験を持つベンダーと連携する必要があります。一般的な方法では、第一歩はすべての暗号化資産のインベントリを作成することです。その後、直ちに対処が必要な事項を判断し、実施すべき変更や改善が他にあれば計画を立てます。

はい。明記すると、11 月 12 日時点で、既存の Entrust TLS 証明書を修正、鍵再生成、または更新した場合、その結果生じる（新しい）証明書は信頼されなくなります。 

デジサートは、受賞歴のあるリアルタイムサポートとカスタマイズを提供しており、証明書ライフサイクル全体にわたって発行、管理、緩和をより簡単にするための代理業務を展開しています。デジサートは、カスタマーサポートの品質と、お客様と連携してあらゆる証明書のニーズを満たすことでよく知られています。Let's Encrypt は、重要な目的を果たすとはいえ、すべての証明書タイプ、管理コンソール、リアルタイムのテクニカルサポートや、証明書ライフサイクル管理などの高度な付随的サービスを提供しているわけではありません。デジサートのすべての証明書は CertCentral で管理でき、他の認証局によって発行された証明書は Trust Lifecycle Manager で管理できます。

はい。ただし、公開されている回避策が少なくとも 1 つあります。以下は、Chrome での無効化に関する発表の引用です。

Chrome 127 から、このブログ記事で Entrust について説明したような、Chrome ルートストアの制約をオーバーライドできます。オーバーライドするためには、対応するルート認証局証明書を、Chrome が実行されているプラットフォームに、ローカルで信頼されたルートとしてインストールしてください（例: Microsoft 証明書ストアに、信頼されたルート認証局としてインストール）。

Android 版 Chrome は、Chrome ルートストアを使用するため、無効化の影響を受けます。重要なこととして、iOS 版 Chrome は、すべての iOS ソフトウェアと同様、Apple ルートストアを使用しなければならないため、必ずしも影響を受けるわけではありません。ただし、Chrome はすでにコードでルートをブロックしており、Google は無効化の実施日を、Chrome バージョンリリースと一致させるために 11 月 12 日に変更しました。これは、該当するアップデートのコードでルートをブロックすることを示唆している可能性があります。

Apple が今後 Entrust 証明書を無効化する場合、すべての iOS デバイスと MacOS デバイスは影響を受けます。

そうです。現時点で、影響は WebPKI のみに限定されています。政府認証局は別であり、直接的な影響は受けません。

はい。DigiCert Trust Lifecycle Manager を使用すると、お客様の Entrust アカウントからインベントリを引き出し、デジサートから新しい証明書を「簡単に」取得できます。また、多数のシステムとサービスへのインストールと更新も自動化できます。