このトピックでは、Object Storage Service (OSS) SSL証明書を更新する理由と方法について説明します。
ルート証明書の信頼ポリシーの更新に関するお知らせ
ネットワークセキュリティ環境の継続的な信頼性を確保するために、Mozillaは初期2023でルート証明書の新しい信頼ポリシーを実装しました。 新しい信頼ポリシーによると、サーバー認証に使用されるルート証明書が15年以上前に発行された場合、Mozillaはルート証明書を信頼しなくなります。 詳細については、「CA /ルートCAライフサイクル」をご参照ください。
GlobalSignのルート証明書の更新に関するお知らせ
Mozillaによって公開された新しい信頼ポリシーは、GlobalSign Root R1ルート証明書の有効性に影響します。 その結果、GlobalSignはルート証明書更新通知を発行しました。これは、GlobalSign root R1ルート証明書が2025年4月15日以降有効でないことを示します。 詳細については、「MozillaによるRoots R1およびR3からのTLS信頼ビットの削除」をご参照ください。
OSSのメソッド
上記の変更を考慮して、Alibaba Cloud OSSは以下の方法を提供します。
OSS証明書の更新プラン
現在、OSSで使用されているSSL証明書は、GlobalSign Root R1ルート証明書によって発行され、2028年1月28日に期限切れになります。 2024年7月1日から、新しいSSL証明書がGlobalSign Root R3ルート証明書によって発行されます。 この動きは、サービスの継続性とセキュリティを確保するために、潜在的な信頼の問題に事前に対処することを目的としています。
互換性のためのクロス証明書スキーム
移行期間中、OSSとGlobalSign Root R1間、およびOSSとGlobalSign Root R3間の広範な互換性を確保するために、GlobalSign Root R1ルート証明書によって発行された既存のOSS SSL証明書は、GlobalSign root 3ルート証明書によって発行された新しいSSL証明書に徐々に置き換えられます。 GlobalSign Root R1ルート証明書によって発行されたSSL証明書の有効期限 (2028年1月28日) の13か月前に、GlobalSign root 3ルート証明書によって発行された新しいSSL証明書を申請する必要があります。 この場合、2026年12月28日までに新しいSSL証明書の申請を完了する必要があります。
将来の計画と提案
GlobalSign Root R3ルート証明書は、2027年4月15日以降はMozillaによって信頼されなくなり、2029年3月18日に期限切れになります。 長期的な影響を軽減するために、既存のSSL証明書を更新するときに、GlobalSign root R1、GlobalSign Root R3、GlobalSign Root R6、GlobalSign Root R46などの信頼できるルート証明書をルート証明書リストに含めることを推奨します。 詳細については、「GlobalSignルート証明書」をご参照ください。
OSS SSL証明書の更新の詳細については、「OSS SSL証明書の更新に関するお知らせ」をご参照ください。
OSSユーザーのメソッド
ルート証明書リストにGlobalSignルートCA-R3証明書が存在するかどうかを確認します。
GlobalSignルートCA-R3証明書が存在する場合、OSSは影響を受けず、安全な接続を維持し続けます。
GlobalSignルートCA-R3証明書が存在しない場合は、信頼できるルート証明書ライブラリに証明書を追加する必要があります。
信頼できるルート証明書ライブラリに信頼できるルート証明書を追加します。
全体的なセキュリティと互換性を向上させるために、すべての既知の信頼できる信頼できるルート証明書を信頼できるルート証明書ライブラリに追加することを推奨します。 これにより、証明書の信頼チェーンの問題によって引き起こされる将来の接続障害やセキュリティ警告を効果的に防ぐことができます。