CT(Certificate Transparency) 対応について
Certificate Transparency(透かし入り証明書)
Certificate Transparencyとは、日本語で「透かし入り証明書」「証明書の透明性」などと呼ばれています。
Certificate Transparencyは、不正な証明書を早期に発見・検知するための仕組みとして Google 社により考案され、2013 年に「RFC 6962」として規格化されました。 Certificate Transparencyは認証局が証明書を発行する都度、全ての証明書発行の証跡を、第三者の監査ログに記載する仕組みです。
それにより利用者が不正に発行された証明書を信頼することを防止します。 Certificate Transparencyはあくまで証明書の信頼性を高めるための追加の仕組みであり、これまでの証明書の検証の仕組みが無くなるわけではありません。
以下のシマンテックのページもご参照下さい。
https://www.symantec.com/ja/jp/page.jsp?id=ssl-certificate-transparency
CT確認方法
各認証局のユーザーポータルサイトの以下の項目(赤枠)にて確認できます。
ユーザー ポータルサイトへのアクセス方法
ユーザーポータルサイトへのアクセスは予めサイトのアクセス権限を含むURLを取得する必要があります。
以下手順にて、このURLの取得方法をご案内致します。
- ユーザポータルサイトへアクセス
- コモンネーム、証明書を受取ったメールアドレス、画像認証コードを入力して次へ進む
- 該当の証明書右の「Request Access」を押下
- 証明書を受取ったメールアドレス宛にユーザーポータルサイトへのアクセスURLが発行
証明書別CT対応状況
| シマンテック製品 | Secure Server ID | 対応 |
| Global Server ID | 対応 | |
| Secure Server ID with EV | 対応 | |
| Global Server ID with EV | 対応 | ジオトラスト製品 | Quick SSL Premium | 対応 |
| True BusinessID | 対応 | |
| True BusinessID Wildcard | 対応 | |
| True BusinessID with EV | 対応 | |
| Rapid SSL | 対応 | |
| Rapid SSL Wildcard | 対応 | |
| サイバートラスト製品 | SureServer | 対応 |
| SureServer EV | 対応 | |
| COMODO製品 | PositiveSSL | 対応不要 ※1 |
| PositiveSSL Wildcard | 対応不要 ※1 | |
| EssentialSSL | 対応不要 ※1 | |
| EssentialSSL Wildcard | 対応不要 ※1 |
(※1) COMODO社発行の証明書に対するGoogleChromeブラウザCT義務化について
この度、Google社では、以下参考URL先の情報の通り認証局の不正発行を起因とし、2016年6月1日以降、この認証局が発行する証明書に限り、EVタイプだけではなく、ドメイン認証、企業認証、すべての証明書について 不正が早期発見できるCT対応を義務付けました。
参考URL:証明書発行に不手際、Googleが対応を要求
http://www.itmedia.co.jp/enterprise/articles/1510/30/news061.html
この措置は公正な証明書を発行する認証局に対しては適用されません。 現在ご利用中の証明書を、引き続きご利用になれますので、どうぞご安心ください。
※CTとは Google社により提唱された証明書の不正発行を防ぐ仕組み
http://www.certificate-transparency.org/
CT対応前の発行された証明書の対応について
証明書の再発行手続きをして頂く事でCT対応版の証明書を取得できます。
証明書の再発行手順は以下URLをご確認ください。
https://goo.gl/EkT31y
ご注意 再発行後の証明書の有効期間は最大3年になります。
RapidSSL ファイル認証タイプをご利用のお客様へ
CT非対応の証明書は、シマンテック(ジオトラスト)へGoogle社に提供する「ホワイトリスト」に証明書の情報を登録依頼をしておりますため、弊社より発行された証明書については警告/エラーは表示されないものと思われます。
尚、CT対応の証明書をご希望の場合は、再発行のうえ、インストールを行う必要がございます。
CT対応の証明書の再発行をご希望の場合は、SSLストア管理画面サポートメニューより、以下の情報を追加してご依頼ください。
- 証明書番号
- CSRデータ (貼り付け)
- 承認確認用メールアドレス
※再発行する際は再度承認が必要でございます。ご指定可能な承認メールアドレスは以下になります。
- admin@コモンネーム名
- administrator@コモンネーム名
- hostmaster@コモンネーム名
- webmaster@コモンネーム名
- postmaster@コモンネーム名
※再発行には当日~1・2営業日程度掛かります