荻野様 西村です。 お知らせが遅くなり申し訳ございません。 ご存知のかたもいらっしゃるかもしれませんが、SHA-2ルートCA(SCRootCA2) に対してSHA-1 to SHA-2のクロスルート証明書が発行されました。 詳細: https://www.secomtrust.net/service/pfw/pfw_service/mobile_SSL_3.0.html SHA-2証明書を使いたいがカバー範囲が心配、というサーバ管理者 向けに、少しでもカバー範囲を広くするものです。 ※そもそもSHA-2アルゴリズムを解釈できない端末は対象外になります。 上記ページには > ※携帯電話の対応環境はSR3.0と変わりません。 とありますが、SHA-2を解釈できる一部の携帯電話もカバーできるのでは ないかと思われます。 使い方は、例えばApacheの場合だとnii-odca3sha2.cer(odcag4.crt)を指定していた箇所を 添付のnii-odca3sha2cross.crtに変更するだけです。 > 2014/12/03 14:10、Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx> のメール: > > 荻野様 > 西村です。 > > ご指摘ありがとうございます。SHA-2移行の影響を詳細化することができま > す。(恥ずかしながらRHEL/CentOS 5での確認はできていませんでした) > 他の事例がありましたら是非お知らせください。 > みなさま > >> 当面の間、SHA-2 中間証明書が RootCA1 をルートにしてもらえればと思う >> のは素人考えなのでしょうが。 > > 確認します。 > > On 2014/12/03 12:52, Mitsuru Ogino wrote: >> 椙山女学園の荻野です。 >> >> Takeshi NISHIMURA wrote on 2014/12/03 11:37: >>> ここは、「個々に事情があってSHA-2移行は容易ではない」(なのでChromeのように >>> 性急に対応させようとするのはよくない)という文脈で、上記はその例だと思いま >>> すが、確かにルート証明書がSHA-2であることは不要です。しかし、SHA-2のEE証明 >>> 書が別個のCAから発行されていてブラウザに受け入れられるためには当該CA証明書 >>> がトラストアンカーとして入っている必要がある、という状況はあります。 >>> # いわゆる非クロスルートの証明書です。 >>> >>> 例えばセコムのSHA-2証明書のルートは"Security Communications RootCA2"(SCRootCA2) >>> で古いJDKには入っていません。 >>> 当方でもShibboleth IdP向けのサイトのSHA-2移行をどうしようか…、と考えていたところです。 >> >> >> https://scrootca2test.secomtrust.net/ >> >> は RHEL5 では検証に失敗しました(2014/1/29 付の ca-bundle.crt)。RHEL6 >> では成功します。 >> >> 当面の間、SHA-2 中間証明書が RootCA1 をルートにしてもらえればと思うのは >> 素人考えなのでしょうが。 >> >> 当方では EAP-PEAP/TLS にも UPKI の証明書を使用して、信頼できるルート証明 >> 書を設定してもらっているので、ルート証明書が変更になるとユーザへの案内が >> 結構大変そうです。 -- 西村健 国立情報学研究所 TEL:03-4212-2890
Attachment:
nii-odca3sha2cross.crt
Description: application/x509-ca-cert