- セクティゴ・コモドSSLトップ
- > サポート
サポート
◆ こちらからサポート記事を検索いただけます
購入後のご質問
AddTrust External CAルートの有効期限満了後について
弊社では、「AddTrustExternalCA Root」というルート証明書とクロスサインという古い端末システム向けの対応として対応デバイスのサポートを広げる機能を提供してきました。
この古い端末システム向けルート「AddTrustExternalCA Root」は2020年5月末に期限切れとなりました。
この古いルート証明書のみに対応していて現行標準ルート証明書を保持していないすべての非アップデートアプリやOS、PC端末は、あたらに再発行を実施するか、サービスが警告をだしてしまうエラーメッセージが表示されるなどのリスクをともないます。
多くの場合、標準で組み込まれている弊社ルート証明書 「COMODO RSA Certification Authority」 が初めからクライアント端末をサポートしてますので問題ありませんが、古い端末にしか対応できないシステムの対策として、弊社では「AAA Certification Service 」というルート証明書をあらたに新設し、お客様の末端証明書はそのままで機能する新しいクロスサインオプションを提供いたします。この「AAA Certification Service」は2028年まで有効期限が切れることがありません。
■ルート証明書とは?
ルート証明書はパブリック認証局が保有しあらゆるブラウザやOSなどのソフトウェア接続端末にあらかじめインストールされている証明書です。これは、「発行者」と「発行者」が同じ名前の証明書です。 弊社のルート証明書は、信頼されたルート証明書(または信頼された認証局、トラストアンカー)になります。
これらの信頼されたルート証明書(トラストストア)は、ブラウザーソフトウェアまたはOSによって頻繁に、多くの場合はセキュリティアップデートの一部として更新されますが、古いOSプラットフォームでは、WindowsサービスパックやオプションのWindows Updateリリースなどの完全なソフトウェア更新の一部としてのみ限定して更新されることがよくあります。
サイトの証明書は、これらの信頼されたルート証明書へチェーンさせるために発行または中間認証局から発行されます。
OS等のセキュリティアップデート作業は今日最も重要な作業であり、つねにアップデートに注意して更新することが望まれております。最新のルート証明書を利用可能な状態にしておかない場合、例えば更新されていないデバイスは更新されていないがゆえに、最新のインターネット接続に必要な機能もサポートもされません。
例としてAndroidOSの場合。
Android 2.3 Gingerbreadには標準のルート証明書である「COMODO RSA Certification Authority」 はプリインストールされておりませんが、この古いOSが搭載された端末でもAddTrustExternalCA Rootには対応しておりました。、しかしこのOSバージョンはTLS 1.2または1.3をサポートしておらず、携帯機器ベンダーによってはもちろんサポートはかなり前に終了しており、いわば「サポート切れのOS」という認識になります。
■クロスサインとは?
認証局は多くの場合、複数のルート証明書をたどれるよう制御しています。
一般に、ルート証明書が古ければ古いほど、昔からプラットフォームに広く配布(プリインストール)されています。
この現実を利用するために、認証局ではクロス証明書を生成して、証明書が可能な限り広くサポートされるようにします。クロス証明書は、1つのルート証明書が別のルート証明書に署名するために使用される証明書です。
クロス証明書とは、署名されるルートと同じ公開鍵とサブジェクトを使用します。
たとえば、クロス証明書は次のような仕様です。
※SHA2-ルート側 COMODO Certification Authority ルート証明書と同じ件名と公開鍵を使用します。
ブラウザとクライアント端末は、信頼できる「最適な」ルートパスにチェーンバックします。
■Add Trust External CA の代わりにつかえるルート証明書は?
Add Trust External CA Root 終了後は、SHA2ルート証明書、COMODO RSA Certification Authority および USER Trust RSA Certification Authority (およびそれらのECC対応バージョンのルート証明書)へのクロス証明書の作成に使用されているルート証明書であり。これらのルート証明書は2038年まで有効期限が切れません。
※AddTrust External CA は2020年5月30日に有効期限が切れますがこの日以降、クライアントとブラウザーは、古いAddTrustがクロスサインに使用された最新ルートにチェーンバックします。更新された更新された新しいデバイスまたはプラットフォームではエラーは表示されません
最新の「USERTRust」ルートを持たないレガシーブラウザまたは古いデバイスはそれを信頼しないため、信頼できるルートであるAdd Trust External CA Rootまでチェーンをたどりエラーとなります。
現在利用されるほとんどのブラウザでは、USERTrustルートがすでにプリインストールされており、古いAddTrustExternalCAルートに依存する必要なく、USERTrustルートを信頼します。
■お客様が対応するべきこと?
現在利用されるほとんどのクライアントまたはサーバシステムを提供する証明書を含むほとんどの場合、AddTrustルートへのクロスチェーンの証明書を発行しているかどうかに関係なく、必要ありません。
■2020年4月30日現在:非常に古いシステムに依存するビジネスプロセスのために、弊社では(デフォルトでは証明書バンドルで)クロス署名用の新しいレガシールートである「AAA Certificate Services」ルートを利用できるように再構成しました。ただし、非常に古いレガシーシステムに依存するプロセスについては、細心の注意を払ってください。
: COMODO RSA Certification ルートなど、SHA2ルート証明書をサポートするために必要なアップデートをしていない場合の端末システムでは、必然的に他の重要なセキュリティアップデートが不足している場合があり、安全でないと見なされます。それでもAAA Certificate Service ルート証明書にクロスサインする場合には、弊社納品時のメールの返信で直接メールにてご連絡ください。
■よくある質問
Q1)2020年6月以降もわたしの証明書は信頼されますか?
A1)はい。現行のほとんどすべてのクライアントOSシステムには、2038年まで有効期限が切れる新しい最新のCOMODO および USER Trust ルート証明書がプリインストールされています。
トラストストアが(閉鎖空間ポリシーなどであえて)故意に制限されているもしくはサポート切れなどで更新できないプラットフォーム(たとえば、組み込みデバイス)では、更新をする必要があります。新しいルート証明書を個別にインストールしてください。
これらの制限デバイスにも、ベンダーから提供されるセキュリティアップデートがあるかどうか確認してください。
Q2)証明書を再発行または再インストールする必要がありますか?
A2)いいえ。証明書は自然な有効期限まで信頼されたままであり、再発行や再インストールは「通常の場合」必要ありません。※
※必要に応じて、サーバーへのクロス証明書インストールを削除などすることで対応できます。AddTrustの有効期限が切れた後にレガシー互換性(旧型端末への互換性)が引き続き必要な場合は、AddTrustクロス署名の代わりにサーバーにインストールできるクロス署名認証があります。
■ 弊社が保有する最新のルート証明書: RSA / ECC:
* crt.shリンクの「証明書」ラベルをクリックすると、証明書ファイル自体がダウンロードされます
*これらのルートは、次のプラットフォームに標準でプリインストールされています。
●Apple製品
•macOS Sierra 10.12.1 Public Beta 2 以降
•iOS 10 以降
●マイクロソフト製品:
•Windows XP(自動ルート更新を使用。Windowsでは、VistaまでECCはサポートされません)
•Windows Phone 7
●Mozilla 製品
•Firefox 3.0.4(COMODO ECC証明機関)
•Firefox バージョン36以上
●Google製品:
•Android 2.3以降(COMODO ECC認証局)
•Android 5.1以降
●Oracle製品
•Java JRE 8u51 以降
●Opera :
[2012年12月以降のブラウザ]
■AddTrustのみを信頼するインフラストラクチャまたはアプリケーションがある場合はどうなりますか?
システムまたはアプリケーションが Add Trust External CA Root のみを信頼し、より新しいComodoまたはUSERTrustルートを信頼しない場合– 2020年5月30日以降にエラーが発生します。
レガシー環境/デバイスの予防策と注意:
•アップデート可能な場合は、システム更新をして、より新しい暗号化アルゴリズムのルート証明書を(お手元の接続端末PC等のトラストストア)更新する必要があります。プラットフォームが最新のアルゴリズム(SHA-2など)をサポートしていない場合は、更新についてそのシステムベンダーに問い合わせる必要があります。
Add Trust External CA Rootをアプリケーションまたはカスタムレガシーデバイスに組み込んだお客様は、2020年5月の有効期限後には弊社の新しいUSER Trust RSA CAルートへのリプレースを組み込む必要がある場合があります。
•AddTrustルートとは異なる別の古い端末向けのSHA1ルートとして、下位互換性を維持するため、新たなクロス証明書をご用意いたしました。このクロス証明書は、「AAA Certification Service 」と呼ばれるSHA1ルートによって署名されています。
AAA証明書サービスとのクロス証明書は、古いバージョンとの互換性を提供します。
•Apple iOS 3 以降
•Apple macOS 10.4以降
•Google Android 2.3以降
•Mozilla Firefox 1以降
•Oracle Java JRE 1.5.0_08以降
■AAA Certificate Services (SHA1ルート証明書)[2028年有効期限満了]
https://crt.sh/?id=331986
●AAA Certificate Services とのクロスサイン
・USERTrust RSA認証局 - https://crt.sh/?id=1282303295
※SHA2-ルート側 USERTrust RSA Certification Authority ルート証明書と同じ件名と公開鍵を使用します。
ブラウザとクライアント端末は、信頼できる「最適な」ルートパスにチェーンバックします。
・USERTrust ECC - https://crt.sh/?id=1282303296
※SHA2-ルート側 USERTrust ECC Certification Authorityルート証明書と同じ件名と公開鍵を使用します。
ブラウザとクライアント端末は、信頼できる「最適な」ルートパスにチェーンバックします。
・COMODO RSAとAAAのクロスサイン証明書 - https://crt.sh/?id=2545965608
※SHA2-ルート側 COMODO RSA Certification Authorityルート証明書と同じ件名と公開鍵を使用します。
ブラウザとクライアント端末は、信頼できる「最適な」ルートパスにチェーンバックします。
・COMODO ECCとAAAのクロスサイン証明書 - https://crt.sh/?id=2545965608
※SHA2-ルート側 COMODO ECC Certification Authorityルート証明書と同じ件名と公開鍵を使用します。
ブラウザとクライアント端末は、信頼できる「最適な」ルートパスにチェーンバックします。
この古い端末システム向けルート「AddTrustExternalCA Root」は2020年5月末に期限切れとなりました。
この古いルート証明書のみに対応していて現行標準ルート証明書を保持していないすべての非アップデートアプリやOS、PC端末は、あたらに再発行を実施するか、サービスが警告をだしてしまうエラーメッセージが表示されるなどのリスクをともないます。
多くの場合、標準で組み込まれている弊社ルート証明書 「COMODO RSA Certification Authority」 が初めからクライアント端末をサポートしてますので問題ありませんが、古い端末にしか対応できないシステムの対策として、弊社では「AAA Certification Service 」というルート証明書をあらたに新設し、お客様の末端証明書はそのままで機能する新しいクロスサインオプションを提供いたします。この「AAA Certification Service」は2028年まで有効期限が切れることがありません。
■ルート証明書とは?
ルート証明書はパブリック認証局が保有しあらゆるブラウザやOSなどのソフトウェア接続端末にあらかじめインストールされている証明書です。これは、「発行者」と「発行者」が同じ名前の証明書です。 弊社のルート証明書は、信頼されたルート証明書(または信頼された認証局、トラストアンカー)になります。
これらの信頼されたルート証明書(トラストストア)は、ブラウザーソフトウェアまたはOSによって頻繁に、多くの場合はセキュリティアップデートの一部として更新されますが、古いOSプラットフォームでは、WindowsサービスパックやオプションのWindows Updateリリースなどの完全なソフトウェア更新の一部としてのみ限定して更新されることがよくあります。
サイトの証明書は、これらの信頼されたルート証明書へチェーンさせるために発行または中間認証局から発行されます。
OS等のセキュリティアップデート作業は今日最も重要な作業であり、つねにアップデートに注意して更新することが望まれております。最新のルート証明書を利用可能な状態にしておかない場合、例えば更新されていないデバイスは更新されていないがゆえに、最新のインターネット接続に必要な機能もサポートもされません。
例としてAndroidOSの場合。
Android 2.3 Gingerbreadには標準のルート証明書である「COMODO RSA Certification Authority」 はプリインストールされておりませんが、この古いOSが搭載された端末でもAddTrustExternalCA Rootには対応しておりました。、しかしこのOSバージョンはTLS 1.2または1.3をサポートしておらず、携帯機器ベンダーによってはもちろんサポートはかなり前に終了しており、いわば「サポート切れのOS」という認識になります。
■クロスサインとは?
認証局は多くの場合、複数のルート証明書をたどれるよう制御しています。
一般に、ルート証明書が古ければ古いほど、昔からプラットフォームに広く配布(プリインストール)されています。
この現実を利用するために、認証局ではクロス証明書を生成して、証明書が可能な限り広くサポートされるようにします。クロス証明書は、1つのルート証明書が別のルート証明書に署名するために使用される証明書です。
クロス証明書とは、署名されるルートと同じ公開鍵とサブジェクトを使用します。
たとえば、クロス証明書は次のような仕様です。
- | SHA1ルートパス | SHA2ルートパス |
ルート証明書 | AddTrust External CA Root.crt | COMODO RSA Certification Authority.crt |
クロスルート証明書※ | ※COMODO RSA Add Trust CA.crt https://crt.sh/?id=1044348 |
|
中間証明書 | COMODO RSA Extended Validation Secure ServerCA.crt COMODO RSA organization Validation Secure ServerCA.crt COMODO RSA Domain Validation Secure Server CA.crt COMODO RSA Code Signing CA |
|
末端証明書 | お客様ご指定のドメイン名.crt |
ブラウザとクライアント端末は、信頼できる「最適な」ルートパスにチェーンバックします。
■Add Trust External CA の代わりにつかえるルート証明書は?
Add Trust External CA Root 終了後は、SHA2ルート証明書、COMODO RSA Certification Authority および USER Trust RSA Certification Authority (およびそれらのECC対応バージョンのルート証明書)へのクロス証明書の作成に使用されているルート証明書であり。これらのルート証明書は2038年まで有効期限が切れません。
※AddTrust External CA は2020年5月30日に有効期限が切れますがこの日以降、クライアントとブラウザーは、古いAddTrustがクロスサインに使用された最新ルートにチェーンバックします。更新された更新された新しいデバイスまたはプラットフォームではエラーは表示されません
最新の「USERTRust」ルートを持たないレガシーブラウザまたは古いデバイスはそれを信頼しないため、信頼できるルートであるAdd Trust External CA Rootまでチェーンをたどりエラーとなります。
現在利用されるほとんどのブラウザでは、USERTrustルートがすでにプリインストールされており、古いAddTrustExternalCAルートに依存する必要なく、USERTrustルートを信頼します。
■お客様が対応するべきこと?
現在利用されるほとんどのクライアントまたはサーバシステムを提供する証明書を含むほとんどの場合、AddTrustルートへのクロスチェーンの証明書を発行しているかどうかに関係なく、必要ありません。
■2020年4月30日現在:非常に古いシステムに依存するビジネスプロセスのために、弊社では(デフォルトでは証明書バンドルで)クロス署名用の新しいレガシールートである「AAA Certificate Services」ルートを利用できるように再構成しました。ただし、非常に古いレガシーシステムに依存するプロセスについては、細心の注意を払ってください。
: COMODO RSA Certification ルートなど、SHA2ルート証明書をサポートするために必要なアップデートをしていない場合の端末システムでは、必然的に他の重要なセキュリティアップデートが不足している場合があり、安全でないと見なされます。それでもAAA Certificate Service ルート証明書にクロスサインする場合には、弊社納品時のメールの返信で直接メールにてご連絡ください。
■よくある質問
Q1)2020年6月以降もわたしの証明書は信頼されますか?
A1)はい。現行のほとんどすべてのクライアントOSシステムには、2038年まで有効期限が切れる新しい最新のCOMODO および USER Trust ルート証明書がプリインストールされています。
トラストストアが(閉鎖空間ポリシーなどであえて)故意に制限されているもしくはサポート切れなどで更新できないプラットフォーム(たとえば、組み込みデバイス)では、更新をする必要があります。新しいルート証明書を個別にインストールしてください。
これらの制限デバイスにも、ベンダーから提供されるセキュリティアップデートがあるかどうか確認してください。
Q2)証明書を再発行または再インストールする必要がありますか?
A2)いいえ。証明書は自然な有効期限まで信頼されたままであり、再発行や再インストールは「通常の場合」必要ありません。※
※必要に応じて、サーバーへのクロス証明書インストールを削除などすることで対応できます。AddTrustの有効期限が切れた後にレガシー互換性(旧型端末への互換性)が引き続き必要な場合は、AddTrustクロス署名の代わりにサーバーにインストールできるクロス署名認証があります。
■ 弊社が保有する最新のルート証明書: RSA / ECC:
USER Trust RSA Certification Authority | https://crt.sh/?id=1199354 |
USERTrust ECC Certification Authority | https://crt.sh/?id=2841410 |
COMODO RSA Certification Authority | https://crt.sh/?id=1720081 |
COMODO ECC Certification Authority | https://crt.sh/?id=2835394 |
* crt.shリンクの「証明書」ラベルをクリックすると、証明書ファイル自体がダウンロードされます
*これらのルートは、次のプラットフォームに標準でプリインストールされています。
●Apple製品
•macOS Sierra 10.12.1 Public Beta 2 以降
•iOS 10 以降
●マイクロソフト製品:
•Windows XP(自動ルート更新を使用。Windowsでは、VistaまでECCはサポートされません)
•Windows Phone 7
●Mozilla 製品
•Firefox 3.0.4(COMODO ECC証明機関)
•Firefox バージョン36以上
●Google製品:
•Android 2.3以降(COMODO ECC認証局)
•Android 5.1以降
●Oracle製品
•Java JRE 8u51 以降
●Opera :
[2012年12月以降のブラウザ]
■AddTrustのみを信頼するインフラストラクチャまたはアプリケーションがある場合はどうなりますか?
システムまたはアプリケーションが Add Trust External CA Root のみを信頼し、より新しいComodoまたはUSERTrustルートを信頼しない場合– 2020年5月30日以降にエラーが発生します。
レガシー環境/デバイスの予防策と注意:
•アップデート可能な場合は、システム更新をして、より新しい暗号化アルゴリズムのルート証明書を(お手元の接続端末PC等のトラストストア)更新する必要があります。プラットフォームが最新のアルゴリズム(SHA-2など)をサポートしていない場合は、更新についてそのシステムベンダーに問い合わせる必要があります。
Add Trust External CA Rootをアプリケーションまたはカスタムレガシーデバイスに組み込んだお客様は、2020年5月の有効期限後には弊社の新しいUSER Trust RSA CAルートへのリプレースを組み込む必要がある場合があります。
•AddTrustルートとは異なる別の古い端末向けのSHA1ルートとして、下位互換性を維持するため、新たなクロス証明書をご用意いたしました。このクロス証明書は、「AAA Certification Service 」と呼ばれるSHA1ルートによって署名されています。
AAA証明書サービスとのクロス証明書は、古いバージョンとの互換性を提供します。
•Apple iOS 3 以降
•Apple macOS 10.4以降
•Google Android 2.3以降
•Mozilla Firefox 1以降
•Oracle Java JRE 1.5.0_08以降
■AAA Certificate Services (SHA1ルート証明書)[2028年有効期限満了]
https://crt.sh/?id=331986
●AAA Certificate Services とのクロスサイン
・USERTrust RSA認証局 - https://crt.sh/?id=1282303295
- | SHA1ルートパス | SHA2ルートパス |
ルート証明書 | AAA Certificate Services.crt | USERTrust RSA Certification Authority.crt |
クロスルート証明書※ | ※USER Trust RS AAAA CA.crt https://crt.sh/?id=1282303295 |
|
中間証明書 | Sectigo RSA Extended Validation Secure ServerCA.crt Sectigo RSA organization Validation Secure ServerCA.crt Sectigo RSA Domain Validation Secure Server CA.crt Sectigo RSA Code Signing CA |
|
末端証明書 | お客様ご指定のドメイン名.crt |
ブラウザとクライアント端末は、信頼できる「最適な」ルートパスにチェーンバックします。
・USERTrust ECC - https://crt.sh/?id=1282303296
- | SHA1ルートパス | SHA2ルートパス |
ルート証明書 | AAA Certificate Services.crt | USERTrust ECC Certification Authority |
クロスルート証明書※ | ※USERTrust ECC Certification Authority https://crt.sh/?id=1282303296 |
|
中間証明書 | USERTrust ECC Extended Validation Secure ServerCA.crt USERTrust ECC organization Validation Secure ServerCA.crt USERTrust ECC Domain Validation Secure Server CA.crt USERTrust ECC Code Signing CA |
|
末端証明書 | お客様ご指定のドメイン名.crt |
ブラウザとクライアント端末は、信頼できる「最適な」ルートパスにチェーンバックします。
・COMODO RSAとAAAのクロスサイン証明書 - https://crt.sh/?id=2545965608
- | SHA1ルートパス | SHA2ルートパス |
ルート証明書 | AAA Certificate Services.crt | COMODO RSA Certification Authority |
クロスルート証明書※ | ※COMODO RSA Certification Authority https://crt.sh/?id=2545965608 |
|
中間証明書 | COMODO RSA Extended Validation Secure ServerCA.crt COMODO RSA organization Validation Secure ServerCA.crt COMODO RSA Domain Validation Secure Server CA.crt COMODO RSA Code Signing CA |
|
末端証明書 | お客様ご指定のドメイン名.crt |
ブラウザとクライアント端末は、信頼できる「最適な」ルートパスにチェーンバックします。
・COMODO ECCとAAAのクロスサイン証明書 - https://crt.sh/?id=2545965608
- | SHA1ルートパス | SHA2ルートパス |
ルート証明書 | AAA Certificate Services.crt | COMODO ECC Certification Authority |
クロスルート証明書※ | ※COMODO ECC Certification Authority https://crt.sh/?id=2545966120 |
|
中間証明書 | COMODO ECC Extended Validation Secure ServerCA.crt COMODO ECC organization Validation Secure ServerCA.crt COMODO ECC Domain Validation Secure Server CA.crt COMODO ECC Code Signing CA |
|
末端証明書 | お客様ご指定のドメイン名.crt |
ブラウザとクライアント端末は、信頼できる「最適な」ルートパスにチェーンバックします。
マニュアル
各種手続きについて
- 古いSHA1ルート終了における対応につきまして。
- 新ドメイン認証レベルで確認させていただく内容
- オンラインDBへの電話番号確認
- DUNSの新規登録申請はオンラインで簡単
- ドメイン認証レベルで確認させていただく内容
- 企業認証レベルで確認させていただく内容
- 認証レベルに応じた確認・必要書類はなんですか
- 申請ドメインの登録状態を確認しよう :whoisチェック
- 企業情報(登録確認)にはどのような媒体がありますか?
- 無償版SSLとは
- 申請までにご準備いただく物
- お申込みから納品までの流れ
- 費用の支払方法
- お見積書発行依頼
- 請求書の発行依頼
- 更新の申請方法
- 販売パートナ・アフェリエイトパートナーになる。
- ID/パスワードを忘れたら
購入前のご質問
- セクティゴの補償とは一体どのようなものでしょうか?
- FileMaker(ファイルメーカー)製品対応SSLについて
- 携帯電話、スマートフォン、タブレット対応状況
- 新旧ドメイン認証タイプの比較
- 携帯電話・スマートフォン対応状況(ユニファイドコミュニケーション)
- ドメイン管理状況の認証 (DCV) を実施
- ブラウザーの互換性
- マルチドメインは何個まで追加できますか
- 追加ドメインの購入はどのように申請するのでしょうか?
- IEの設定の「信頼されたルート証明期間」のなかでどのように表示されますか?
- コードサイニング証明書とはなんですか?
- ユニファイドコミュニケーションとはなんですか?
- どのようにすればSSLをテストできるでしょうか?
- コモドのSSL証明書は顧客のブラウザーで正しく動作するでしょうか?
- 補償とは一体どういう意味でしょうか?
- コモドのSSLはどのバージョンのSSLプロトコルと互換性がありますか?
- SGCとは何でしょうか?
- お申込フォームで間違った申請をしてしまいました。
- コモドのSSLはどのバージョンのSSLプロトコルと互換性がありますか?