DigiCert PKI Class2 Serviceの仕様変更ならびに ブラウザベンダーによるルート証明書信頼性設定変更による対応のご案内

お客様各位

2021年5月21 日
2021年11月12日改訂

DigiCert PKI Class2 Serviceの仕様変更ならびに
ブラウザベンダーによるルート証明書信頼性設定変更による対応のご案内

　平素は本サービスをご利用いただきありがとうございます。現在当該サービスにつきましては以下の目的をカバーする証明書を発行しておりますが、今般の業界動向等ならびにブラウザベンダーのルート証明書の信頼性変更による対応のお願いについて、以下の通りご案内いたします。

何卒、ご了承賜りたくお願いいたします。
今後ともDigiCert のサービスをよろしくお願い申し上げます。

1. DigiCert PKI Class2 Service の仕様変更について
   　今般の業界動向（ブラウザ各社のWeb Root Program（＊１）を含む）ならびにCA Browser Forum（＊２）で検討されておりますS/MIME用証明書のガイドラインの方向性を踏まえ、証明書の提供内容の変更をすることを決定いたしました。

   ＜現在の証明書がカバーする目的＞

   • S/MIME用証明書（＊３）
   • クライアント認証
   • ドキュメント署名

   （上記には、証明書のSubjectDNおよびSubjectAltName（以下SAN）に個人の属性を追記するケースを含みます）

   現在の業界動向、ならびにCA Browser Forumで検討されておりますS/MIME用証明書のプロファイルの共通化／制約等、証明書全体のSubjectDNならびにSANにおいて

   • 一般論として認証局が確認できない情報を記載するべきではない
   • OUにおいてサービスのログインIDのような、一般には意味がない情報の記載に関する制限の検討
   • S/MIME以外の用途で、証明書の複数目的利用への制限の可能性
   などがあり、現在クライアント認証で多く使われるような、認証するサービス用のIDや権限情報などの格納に制限が入る可能性があります。
   （本事項は各団体においての最終判断ではありません。最終的な判断は、各団体の判断により公開する資料に記載されます）

   　これらにより、現在ご提供しております証明書の使用範囲を２つに分割し、S/MIME用途、およびS/MIME用途以外を作成します。そして、それぞれ別の証明書のプロファイルで、特にS/MIME用証明書については、S/MIMEに必要な情報に限定することで、上記の業界全体での検討、制約による影響を最小化することといたします。
   　また、これらの検討は証明書のプロファイルだけではなく、発行、認証処理手順についても影響を及ぼすことが想定されることから、S/MIME用証明書については、DigiCertの全世界共通のプラットフォームから当該証明書を発行するように移管し、その発行手順が今後のS/MIME証明書の要件を満たすようにすることといたします。
   上記から当該サービスをご利用のお客様につきましては、以下のように変更をさせていただきたくお願いをいたします。

   本変更は2021年12月6日を予定いたします。

   ＜S/MIME用途の証明書をご利用のお客様＞
   弊社CertCentral（＊４）のS/MIME用証明書をご購入（＊５）

   ＜クライアント認証およびドキュメント署名用途に証明書をご利用のお客様＞
   プロファイルを変更するDigiCert PKI Class2サービスからの証明書をご購入（この証明書は、変更後プロファイルからS/MIME用途での利用が技術的にできません）

   ＜両方の目的で証明書をご利用のお客様＞
   大変恐縮ですが、両方の証明書のご購入をご検討ください

2. ブラウザベンダーによるRoot証明書の信頼設定の変更について
   ブラウザベンダーによるRoot証明書の信頼設定について、以下が予定されております。（実施日が確定していないものを含みます）

   ベンダー名 （敬称略）	実施時期	影響を受けるOS/プラットフォーム
   Apple	2022年1月末（＊６）	macOS, iOS, iPadOS
   MicroSoft	2023年3月末（＊６）	Windows OS

   本変更により、ご利用範囲、用途によってお使いの証明書の有効期限が満了する前に、影響を受ける可能性があります。

   具体的には以下が考慮すべき点となります。

   利用範囲、用途	影響を受ける可能性	対応
   S/MIME メールの送信時に電子署名を付与、暗号メールを送付する用途	影響を受けます	1. 項記載の変更により、CertCentralのS/MIMEの証明書に移行 【チェックシート（対応A）】
   ドキュメント署名 PDFなどの電子書類に対して電子署名を付与しているご利用用途	影響の有無は上記のベンダー毎のOSとご利用アプリケーションによります （＊７）	12月6日以後のDigiCert PKI Class2 Serviceの証明書に移行 【チェックシート（対応BまたはC）】
   TLSクライアント認証	証明書のご利用者は影響をうけません （サーバー運営の方はサーバーの設定をご確認ください）	今回、特別な対応は不要です。証明書の期限満了後にDigiCert PKI Class2 Serviceで更新をご検討ください

   上記のチェックならびに対応詳細については本ページの後方にチェックシートならびに対応詳細を記載しておりますので、ご確認をお願いいたします。
   また本対応にあたり、弊社（および帝国データバンク）より個別にご連絡申し上げる場合がございます。
   S/MIME用途の移行について不明点がある場合には jp-smime-2022@digicert.com にお問い合わせください。

   （＊１）Web Root Programは、各ブラウザのベンダーが自社のブラウザに信頼するRoot CAを登録維持するにあたり、個々に定めているポリシーになります。こちらに沿わない場合には、当該Root CAはそのブラウザベンダーの信頼する認証局から削除されることがあります。またブラウザベンダーがOSも持つ場合、この信頼設定は当該OSでの信頼する認証局としても扱われます。

   （＊２）CA Browser Forumは複数の認証事業者とブラウザベンダーならびに関係者で構成する業界団体で、パブリック証明書による通信の安全性やその利便性を向上させるためのガイドラインを策定し、公開しております。

   （＊３）S/MIMEはメールのセキュリティの技術で、メール電文に署名ならびに暗号機能を利用できる状態にするものです。一般にこれらの機能には送信者および受信者が保有する証明書が必要で、その証明書をここではS/MIME用証明書と呼んでおります。またここで言うS/MIME用証明書とは、技術的に証明書のプロファイル上証明書拡張領域のExtended Key Usage (EKU)においてEmailProtectionのOIDが含まれるものを意味します。

   （＊４）CertCentralとは、DigiCertおよび弊社が全世界的に証明書を小売販売する場合に使用するDigiCert内のシステムの名称です。

   （＊５）購入の場合、弊社パートナーであります日本事務器株式会社様経由にてご購入をお願いいたします。

   （＊６）現時点でのApple社およびMicrosoft社の方針については以下のページにまとめてございます。

   https://knowledge.digicert.com/generalinformation/smime-root-transition.html
   https://knowledge.digicert.com/alerts/symantec_root_distrust.html
   Symantec Class 2 Public Primary Certification Authority - G6を参照ください。

   （＊７）例としてAdobe Acrobatでは、OSに依存せず独自の信頼設定を保持していますが以下の違いがあります。よって、現在Acrobat製品をApple社OSで利用されている場合には、Apple社の信頼設定の変更の影響はありません。

   • Windows向けバージョンにWindowsの信頼する設定を利用するオプションがあります（Windows統合機能）
   • Apple向けのバージョンには、上記のWindowsの信頼する設定を利用するオプションはありません

チェックシート

以下は現在お使いの証明書が今回の仕様変更にあたり、影響を受けるかどうかを判断するためのシートとなります。お手数ですがお客様の利用状況にて対応内容または影響なしをご判断ください。 なお、対応AおよびS/MIME用途の移行について不明点がある場合には jp-smime-2022@digicert.com にお問い合わせください。

対応Aについてはこちらをご参照ください。

対応Bについてはこちらをご参照ください。

対応Cについてはこちらをご参照ください。

初稿に一部日付に誤りがあり修正いたしました。