ルート証明書は、SSL/TLS 信頼チェーンの基盤を形成し、サーバー証明書の信頼性を検証します。グローバルなルート証明書の信頼ポリシーの変更に伴い、OSS は、安全で利用可能な HTTPS アクセスを継続的に確保するために、ルート証明書をアップグレードしています。
アップグレードの背景
2023 年初頭、Mozilla は、15 年以上前に発行されたサーバー認証ルート証明書は信頼されなくなるという新しいルート証明書の信頼ポリシーを実装しました。その結果、GlobalSign Root R1 ルート証明書は 2025 年 4 月 15 日に有効期限が切れます。詳細については、「Mozilla ルート証明書の信頼ポリシーに関する通知」をご参照ください。
OSS の対応戦略
Alibaba Cloud Object Storage Service (OSS) は、スムーズなサービス移行を確実にするために、以下の対策を講じています。詳細については、「Alibaba Cloud Object Storage Service HTTPS ルート証明書アップグレードのお知らせ」をご参照ください。
対策 | 説明 |
証明書の更新 | 2024 年 7 月 1 日より、新しく発行される OSS 証明書は GlobalSign Root R3 を使用します。これにより、最新のセキュリティ標準との互換性が確保されます。 |
クロス証明書の互換性 | 既存の証明書は、クロス証明書メカニズムを使用して R1 から R3 へスムーズに移行します。クロス証明書は 2028 年 1 月 28 日まで有効です。2026 年 12 月 28 日までに更新の準備を完了してください。 |
今後の計画 | GlobalSign Root R3 は、2027 年 4 月 15 日以降、Mozilla によって信頼されなくなります。有効期限は 2029 年 3 月 18 日です。クライアントのルート証明書リストに R1、R3、R6、R46 などの複数のルート証明書を含めてください。これにより、将来の証明書ローテーションのニーズに対応します。 |
ユーザーの対応
ほとんどのユーザーは操作不要です。 最新のオペレーティングシステム (Windows 7 以降、macOS 10.12.1 以降、および過去 5 年間の主要な Linux バージョン) とブラウザは、組み込みのルート証明書ストアを自動的に更新します。
古いオペレーティングシステム、組み込みデバイス、または古いカスタムクライアントで OSS に HTTPS 経由でアクセスする際に証明書エラーが発生した場合にのみ、以下の手順に従ってください。
ステップ1: 「GlobalSign Root CA - R3」ルート証明書の確認
Windows
Win + R を押し、
certmgr.mscと入力し、Enter を押して証明書マネージャーを開きます。左側のナビゲーションウィンドウで、 を展開します。
[発行先] が GlobalSign で、[表示名] が GlobalSign Root CA - R3 である証明書を検索します。
Linux
たとえば、Ubuntu でターミナルを開き、次のコマンドを実行して、システム証明書ディレクトリ内の GlobalSign 証明書を確認します。
ls /etc/ssl/certs/ | grep GlobalSignmacOS
[Finder] を開き、「キーチェーンアクセス」を検索して開きます。
[システムルート] をクリックし、検索ボックスに「GlobalSign」と入力し、ダブルクリックして証明書の詳細を表示します。
ステップ2: 不足しているルート証明書のインストール
システムからルート証明書が不足していることを確認した場合は、「オペレーティングシステムへのルート証明書のインストール」をご参照ください。