SSLでクライアント認証を使用している場合、移行が証明書とシステムにどのような影響を与えるかを以下に示します。TLS 証明書。
どのような影響があるか?
ほとんどのSSL顧客にとって、 この移行はシームレスです。 TLS 証明書は標準的なHTTPSウェブサーバー認証に使用されます。発行元が2022年のルート証明書に移行した後も、お客様の証明書は引き続き期待どおりに機能します。
システムが ClientAuth EKU に依存している場合、 TLS 証明書 あなたは決断を下さなければならず、いくつかの選択肢を検討する必要があります。
- 2016年のルートにシステムを固定しているが、Chromeの信頼度が必要ですか? これは最も複雑なシナリオであり、即座の対応が必要です。 PKI ソリューションの専門家が、お客様やお客様のチームと協力して、お客様の環境に最適な実践的な今後の道筋を策定します。
- 弊社のクライアント証明書製品に切り替えてください。 クライアント認証には、専用のクライアント証明書を使用してください。これらはこの用途向けに作成されており、Google Chromeのサーバー認証要件の影響を受けません。
- Chromeの信頼性が問題にならないのであれば、2016年版のままで良いでしょう。 Chromeブラウザの信頼性を必要としない場合は、当面は2016年のルートバージョンのままでも構いませんが、ブラウザの信頼性は時間とともに低下していくため、近い将来何らかの対策が必要になるでしょう。
- 後方互換性のために相互証明書を使用してください。 組織が2016年のルートにまで遡る信頼性を維持しつつ、将来を見据えた取り組みも必要とする場合、相互認証制度がそのギャップを埋めるのに役立ちます。これは、古いルート階層に依存するシステムを持つチームにとって最適な選択肢です。
なぜこのようなことが起きているのか
根が老化する
ルート証明書は、デジタルにおける信頼の基盤となるものです。ブラウザやオペレーティングシステムは、信頼できると認識したルート証明書のリストを保持しており、発行するすべての証明書は、そのリストのいずれかに由来します。しかし、古いルート証明書は、時間の経過とともにリスクが高まります。
長年流通しているルート証明書は、露出度が高まり、暗号化の脆弱性が露呈する機会が増え、悪用される可能性も非常に高くなっています。これが、業界が証明書の有効期間を着実に短縮し、認証局に信頼階層の近代化を促している大きな理由の一つです。ブラウザは、より新しく、適切に管理されたルート証明書をますます好むようになっています。2022年版のルート証明書に移行することで、SSLは業界の動向に沿ったものとなり、最新のブラウザによる証明書の信頼性を維持できます。
クロームファクター
Chromeのルートプログラムは、 TLS 証明書にはサーバー認証拡張キー使用法(EKU)のみが含まれます。長年にわたり、発行は一般的な慣行となっています。 TLS ClientAuth EKUも含む証明書により、単一の証明書でサーバー認証とクライアント認証の両方を処理できるようになります。Chromeは、この二重使用は公開証明書の本来の目的ではなかったと判断しました。 TLS 証明書を発行しており、段階的に廃止していく予定です。
2016年のルート証明書は、ClientAuth拡張証明書使用権(EKU)を含む証明書の発行に使用されていたため、SSLはこれらのルート証明書を公開トラストストアから削除し、2022年のルート証明書への発行移行を行います。2022年のルート証明書から発行される証明書は、Chromeの要件に完全に準拠し、サーバー認証のみを含むものとなります。
私たちは助けるためにここにいます
クライアント証明書製品への移行が必要な場合でも、証明書の相互利用オプションを検討する必要がある場合でも、既存のインフラストラクチャに基づいて移行計画を構築する必要がある場合でも、SSL の PKI 専門家が、貴社に最適なソリューションを見つけるお手伝いをいたします。
この変更が証明書の展開にどのような影響を与えるか不明な場合、または選択肢の評価についてサポートが必要な場合は、今すぐ弊社チームにご連絡ください。お客様の具体的なニーズについてご相談いただくか、移行戦略に関する迅速なサポートを提供いたします。
