平成25年 3月 21日
UPKIオープンドメイン証明書自動発行検証プロジェクト
機関責任者・登録担当者 各位
国立情報学研究所
学術情報ネットワーク運営・連携本部
認証作業部会 主査 岡部 寿男
日頃より国立情報学研究所の活動にご協力いただき、ありがとうございます。
本プロジェクトにおける、鍵長2048bit未満の証明書の6月末発行停止、および年内の失効について、ご連絡させて頂きます。
UPKIオープンドメイン証明書自動発行検証プロジェクト(平成21年(2009年)4月1日 〜 平成27年(2015年)3月31日)では、強度の観点から鍵長2048bit以上の証明書の利用を推奨していますが、システム上の都合にも配慮して鍵長1024bit以上2048bit未満の証明書の発行も行ってきました。
このたび、本プロジェクトのルート認証局となっておりますセコムトラストシステムズより、以下の連絡がありました。
| RSA1024とSHA-1の組合せは、電子証明書において広く利用されている 暗号アルゴリズムであるが、特にRSA1024の鍵長については昨今、安全性 の低下が懸念されることから、鍵長1024bitを採用した証明書の使用期限を、 2013年12月31日迄として頂きたい。 |
これは、CA/Browser ForumのBaseline Requirementsをうけての対応で、すでにMozilla Firefoxにおいては2013年12月31日を過ぎるとRSA1024が利用できなくなると発表されています。
参考1: https://www.secomtrust.net/service/pfw/news/pfw_apply.html
参考2: http://www.mozilla.org/projects/security/certs/policy/MaintenancePolicy....
鍵長2048bit未満の証明書をご利用の皆様にはご不便・ご迷惑をおかけすることになりますが、本プロジェクトとしては、以下のように対応することとなりました。
1.鍵長2048bit未満の証明書の発行を、2013年6月末で停止します。
2.鍵長2048bit未満の証明書を、2013年11月末日に失効します(これから6月末までに発行された証明書も失効します)。
2013年11月末日以前に失効を迎える証明書は、6月末までに再発行して頂くことで、2013年11月末日まで継続してご利用頂くことが可能です。
なお、現在有効な鍵長2048bit未満のサーバ証明書をご利用の担当者の皆様には、改めて個別にメールにてご連絡をいたしますので、そちらもあわせてご確認ください。
失効まで十分な余裕のない状況での突然のご案内で恐縮ですが、サーバ証明書の安全な運用のために、何卒ご理解・ご協力を賜れますよう、お願い申し上げます。
※本件に関するお問い合わせ先
国立情報学研究所 学術基盤推進部 学術基盤課
総括・連携基盤チーム
TEL:03-4212-2226
