このトピックでは、Simple Log Service の HTTPS ルート証明書の更新の背景と対策について説明します。
Mozilla ルート証明書の信頼ポリシーの更新のお知らせ
2023 年初頭、Mozilla はネットワーク セキュリティの信頼性を強化するために、ルート証明書の新しい信頼ポリシーを実装しました。 15 年を超える有効期間を持つサーバー認証に使用されるルート証明書は、信頼されなくなりました。 詳細については、「Mozilla ルート証明書の信頼ポリシーの更新のお知らせ」をご参照ください。
GlobalSign ルート証明書の更新のお知らせ
Mozilla の新しい信頼ポリシーは、GlobalSign Root R1 証明書の有効性に影響を与えます。 これに伴い、GlobalSign はこれらの証明書が 2025 年 4 月 15 日に有効期限切れになることを発表しました。 詳細については、「GlobalSign ルート証明書の更新のお知らせ」をご参照ください。
Simple Log Service の対応戦略
上記の変更を踏まえ、Alibaba Cloud Simple Log Service は以下の対応戦略を発表します。
Simple Log Service 証明書の更新計画
現在、Simple Log Service で使用されている HTTPS 証明書は、GlobalSign Root R1 によって発行されています。 このルート証明書の公式な有効期間は終了していませんが、Mozilla の新しいポリシーに基づき、Simple Log Service から新しく発行される証明書は GlobalSign Root R3 を使用するようになりました。 この変更により、潜在的な信頼性の問題に対処し、サービスの継続性とセキュリティを確保します。
互換性のためのクロス証明書スキーム
移行期間中の幅広い互換性を確保するために、既存の Simple Log Service 証明書はクロス証明書メカニズムを使用して、GlobalSign Root R1 から GlobalSign Root R3 へのスムーズな移行を実現します。 GlobalSign Root R1 のクロス証明書は、有効期限の 13 か月前にリクエストする必要があります。 したがって、2026 年 1 月 1 日までに、関連するすべてのルート証明書の更新準備を完了する必要があります。
今後の計画と提案
長期的な開発を考慮すると、GlobalSign Root R3 は現在のソリューションですが、2027 年 4 月 15 日以降は Mozilla によって信頼されなくなります。 クライアントはルート証明書を速やかに更新し、GlobalSign R1、R3、R6、R46 などの権威のあるルート証明書を含めることを強くお勧めします。 詳細については、「GlobalSign ルート証明書」をご参照ください。
Simple Log Service ユーザー向けの対応戦略
ルート証明書リストに GlobalSign Root CA-R3 証明書が存在するかどうかを確認します。
存在する場合、Simple Log Service は影響を受けず、安全な接続を維持し続けます。
存在しない場合は、信頼できるルート証明書ライブラリに証明書を追加する必要があります(次の手順を参照)。
信頼できるルート証明書ライブラリに権威のあるルート証明書を追加します。
全体的なセキュリティと互換性を向上させるために、既知の信頼できる権威のあるルート証明書をすべて信頼できるルート証明書ライブラリに追加することをお勧めします。 これにより、証明書の信頼チェーンの問題によって引き起こされる将来の接続障害やセキュリティ警告を効果的に防ぐことができます。