DigiCert による Symantec Website Security およびその PKI ソリューションの買収に関連し、新しいデジタル証明書にする認証局が変更されます。このため、シマンテックの設備で使用されているすべての証明書が毎年実施される更新タイミングで影響を受けることになります。
概要
シマンテックが Email Security.Cloud のメール設備へ 2017 年 11 月 28 日以降にインストールする新規のデジタル証明書は、これまでの Symantec VeriSign ルート認証局に代わり DigiCert ルート認証局によりサインされたものになります。なお、最初に予定されている更新は 2018 年 2 月となります。
影響
基本的に、この変更による影響はありません。しかし、メールサーバーで特定のルート認証局のみ(例えば "VeriSign Class 3 Public Primary Certification Authority - G5")を信頼するように設定しているお客様の場合、シマンテックが Email Security.cloud のメール設備の証明書を DigiCert Global Root CA にサインされた新しいものに更新したときに、TLS メールの配信に失敗する可能性があります。
現在および今後の証明書チェーンについては以下のとおりです。
|
現在 |
今後 |
ルート |
Issuer: CN=VeriSign Class 3 Public Primary Certification Authority - G5 |
Issuer: CN=DigiCert Global Root CA |
|
Subject: CN=VeriSign Class 3 Public Primary Certification Authority - G5 |
Subject: CN=DigiCert Global Root CA |
|
|
|
中間 |
Issuer: CN=VeriSign Class 3 Public Primary Certification Authority - G5 |
Issuer: CN=DigiCert Global Root CA |
|
Subject: CN=Symantec Class 3 Secure Server CA - G4 |
Subject: CN=DigiCert SHA2 Secure Server CA |
注意:Symantec Email Security.cloud の設備では VeriSign と DigiCert 両方のルート認証局を信頼・使用します。
ソリューション
DigiCert ルート認証局および中間認証局を、お使いのメールサーバーの信頼するルート認証局ストアにインストールすることをお勧めします。Managed PKI for SSL/TLS - installation instructions を参照してください。証明書をメールサーバーにインストールできない場合は、メールサーバーのベンダーへお問い合わせください。
証明書を確認したい場合は DigiCert Trusted Root Authority Certificate を参照してください。
参考
New Web PKI Hierarchy Details
ご意見ありがとうございます。以下にコメントがある場合はお知らせください。(ログインが必要です)