ルート証明書は SSL/TLS 信頼チェーンの基盤であり、サーバー証明書の真正性を検証するために使用されます。グローバルなルート証明書の信頼ポリシーの変更に伴い、Object Storage Service (OSS) は HTTPS アクセスのセキュリティと可用性を継続的に確保するため、ルート証明書をアップグレードします。
背景情報
2023 年初頭、Mozilla は新しいルート証明書の信頼ポリシーを導入しました。このポリシーでは、15 年以上経過したサーバー認証用のルート証明書が信頼されなくなります。その結果、GlobalSign Root R1 ルート証明書は 2025 年 4 月 15 日に有効期限切れとなります。詳細については、「Mozilla の Root CA ライフサイクルポリシー」をご参照ください。
OSS 対応計画
Alibaba Cloud OSS では、円滑な移行を確保するため、以下の対応を実施しています。詳細については、「OSS SSL 証明書の更新に関するお知らせ」をご参照ください。
|
操作 |
説明 |
|
証明書の更新 |
2024 年 7 月 1 日以降、OSS が発行する新規証明書は、最新のセキュリティ基準に準拠するため、GlobalSign Root R3 を使用します。 |
|
クロス証明書による互換性 |
既存の証明書は、クロス証明書メカニズムを通じて R1 から R3 へ円滑に移行します。クロス証明書の有効期限は 2028 年 1 月 28 日までです。2026 年 12 月 28 日までに更新に向けた準備を完了することを推奨します。 |
|
今後の計画 |
Mozilla は 2027 年 4 月 15 日から GlobalSign Root R3 を信頼しなくなり、同証明書は 2029 年 3 月 18 日に有効期限切れとなります。将来の証明書切り替えに備え、ご利用のクライアントのルート証明書リストに、R1、R3、R6、R46 など複数のルート証明書を含めることを推奨します。 |
お客様が行う必要のある操作
ほとんどのユーザーは、特に操作を行う必要はありません。 最近 5 年以内の主要な Linux ディストリビューション、Windows 7 以降、macOS 10.12.1 以降などの最新のオペレーティングシステムおよびブラウザは、組み込みの信頼済みルート証明書ストアを自動的に更新します。
古いオペレーティングシステム、組み込みデバイス、または古くなったルート証明書ストアを使用するカスタムクライアントを利用しており、HTTPS 経由で OSS にアクセスした際に証明書エラーが発生する場合に限り、以下の手順に従ってください。
ステップ 1:GlobalSign R3 証明書の確認
Windows
-
Win + R キーを押し、
certmgr.mscと入力して Enter キーを押すと、Certificate Manager が開きます。 -
左側のナビゲーションウィンドウで、 を展開します。
-
一覧から、発行先 が GlobalSign で、フレンドリ名 が GlobalSign Root CA - R3 の証明書を探します。
Linux
Ubuntu を例に挙げると、ターミナルを開き、次のコマンドを実行して、システム証明書ディレクトリ内に GlobalSign 証明書が存在するか確認します:
ls /etc/ssl/certs/ | grep GlobalSignmacOS
-
Finder を開き、キーチェーンアクセス を検索して開きます。
-
システムルート をクリックし、検索ボックスに「GlobalSign」と入力して、該当する証明書をダブルクリックして詳細を表示します。
ステップ 2:不足しているルート証明書のインストール
システムにルート証明書が存在しない場合は、「オペレーティングシステムへのルート証明書のインストール」をご参照ください。