Baseline Requirements発効に伴う認証プロセス変更および
証明書プロファイル変更のご案内

お客様各位

2012年5月21日(修正公開日:2012年5月31日)
日本ジオトラスト株式会社

拝啓 平素は弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

去る2012年4月16日にご連絡いたしましたBaseline Requirements発効に伴うSSLサーバ証明書製品の仕様変更等に関連して、追加のご案内を申し上げます。

なお対象製品は、ジオトラスト トゥルービジネスIDおよびジオトラスト クイックSSLプレミアムです。

日本ジオトラストでは引続きサービス改善に努めて参りますので、今後ともご愛顧賜りますようお願い申し上げます。

敬具

1. 認証プロセスの変更

1-1. ドメイン名使用権確認方法の変更

  • 対象製品:ジオトラスト トゥルービジネスID
  • 適用日時:2012年7月1日(日)以降に申請いただく証明書
  • 変更内容:Baseline Requirement (以下、BR) セクション11.1の規定に基づいて、対象のSSLサーバ証明書の申請時に、申請団体とWHOIS上のドメイン名所有者(Registrant)が同一でない場合、以下のいずれかの方法により、日本ジオトラストがドメイン名使用権の有無を確認いたします。
    1. ドメイン名登録者(WHOIS記載の”所有者:Registrant”または、”管理担当者:Administrative”または、”技術担当者:Technical”の連絡先)へEメールを用いて確認
    2. ドメイン名の前に以下の文字列を付けたメールアドレスへEメールを用いて確認。
      • admin@
      • administrator@
      • webmaster@
      • hostmaster@
      • postmaster@
    3. Eメールでの確認ができない場合は、ドメイン名所有者への連絡およびドメイン名所有者による、以下の情報を含む書類の提出
      • ドメイン名所有者のレターヘッドを含む書式
      • コモンネーム(FQDN)の記載
      • サーバID申請団体に使用権を認めることを明記
      • 部長職相当以上の役職の方の署名
      • 作成日(証明書要求日以降の日付)
    4. 従来の「ドメイン名使用に関わる誓約書」、「ドメイン名使用許諾書」、およびne.jpドメインの申請で必要とされていた「ne.jp誓約書」の提出は不要となり、これらの書類による確認はできなくなります。
      また、ne.jpドメインなど一部のドメイン名においてWHOISでドメイン名所有者情報を確認できない場合は情報開示書の提出が必要になります。

      • 情報開示書: レジストリが発行するドメイン名登録情報を証明した書類です。

1-2. CSR情報と第三者データベース情報の一致

  • 対象製品:ジオトラスト トゥルービジネスID
  • 適用日時:2012年7月1日(日)以降に申請いただく証明書
  • 変更内容:BRセクション11.2.1の規定に基き、対象のSSLサーバ証明書の申請時に提出されるCSRの市区町村名 (Locality)、都道府県名 (State)、国名 (Country)には、第三者データベースあるいは登記事項証明書に記載された住所を指定する必要が有ります。上記に記載のない住所を指定する場合は、ベリサインEV SSL証明書と同様に弁護士、税理士、司法書士、行政書士、公認会計士、あるいは公証人の意見書の提出による事業所住所の表明が必要となります。
    (参考)ベリサインEV SSL証明書での住所確認に関するFAQ:https://www.verisign.co.jp/ssl/help/ev/faq/000015/index.html

1-3. ジオトラスト トゥルービジネスIDの認証における電話確認の追加

  • 対象製品:ジオトラスト トゥルービジネスID
  • 適用日時:2012年7月1日(日)以降に申請いただく証明書
  • 変更内容:BRセクション11.2.3の規定に基づいて、ジオトラストトゥルービジネスIDの認証に申請責任者および技術担当者への電話確認を追加いたします。確認事項はベリサインSSLサーバ証明書と同様です。
    (参考)ベリサインSSLの電話確認に関するFAQ: https://www.verisign.co.jp/ssl/help/faq/100059/index.html

1-4. ドメイン名使用権確認時に使用したデータの有効期間延長

  • 対象製品:ジオトラスト トゥルービジネスID
  • 適用日時:2012年7月1日(日)以降に申請いただく証明書
  • 変更内容:BRセクション11.3の規定に基づいて、ドメイン名使用権確認時に使用した情報の有効期間を最大39か月に延長いたします。登録者情報確認のためにご提出いただく「情報開示書」(1-1参照)は7月1日以前のご提出分も含め有効期間13か月のままになりますので、ご注意ください。

1-5. 代表電話番号証明書類の有効期間延長

  • 対象製品:ジオトラスト トゥルービジネスID
  • 適用日時:2012年7月1日(日)以降に申請いただく証明書
  • 変更内容:BRセクション11.3の規定に基づいて、申請団体の電話番号を証明するためにFAXにてご提出いただく代表電話番号証明書類の有効期間を最大39か月に延長いたします。

1-6. Organizational Unitのセキュリティチェック

  • 対象製品:ジオトラスト トゥルービジネスID
  • 適応日時:2012年7月1日(日)以降に申請いただく証明書
  • 変更内容:SSLサーバ証明書の申請時に指定するCSRの部門名(Organizational Unit:以下OU)に第三者データベースで管理される商号または屋号が完全一致した場合、当該OUでのサーバ証明書は発行いたしません。日本ジオトラストでは、上記に該当する申請をお受けした場合、OUを変更いただけるよう、技術担当者に通知いたします。

1-7. 認証の変更点まとめ

2012年7月1日(日)以降に申請いただく証明書に関して適用になります

対象製品 変更前 変更後 変更理由
  • ジオトラスト トゥルービジネスID
WHOIS上で「ドメイン名登録団体=申請団体」でないドメイン名の使用権確認方法として「ドメイン名使用に関わる誓約書」、「ドメイン名使用許諾書」「ne.jp誓約書」を提出 以下のいずれかの方法により、日本ジオトラストがドメイン名使用権の有無を確認
  • ドメイン名登録者(WHOIS記載の所有者、管理担当者、または、技術担当者の連絡先)へEメールを用いて確認
  • ドメイン名の前に定型の文字列を付けたメールアドレスへEメールを用いて確認。
  • メール確認できない場合、ドメイン名所有者による、書類の提出
BRセクション11.1の規定に準拠
  • ジオトラスト トゥルービジネスID
CSRの市区町村名 (Locality)、都道府県名 (State)は認証の対象外 CSRの市区町村名 (Locality)、都道府県名 (State)、国名 (Country)には、第三者データベースあるいは登記事項証明書に記載された住所を指定する必要がある BRセクション11.2.1の規定に準拠。
  • ジオトラスト トゥルービジネスID
下記に該当する場合は電話による確認を行わない
  • 申請責任者のメールアドレスに含まれるドメイン名が申請団体の所有である
  • ジオトラスト社のセキュリティチェック対象外である
申請責任者および技術担当者への電話確認を行う BRセクション11.2.3の規定に準拠。
  • ジオトラスト トゥルービジネスID
ドメイン名使用権確認時に使用した情報の有効期間は最大13か月 ドメイン名使用権確認時に使用した情報の有効期間は最大39か月 BRセクション11.3の規定に準拠。
  • ジオトラスト トゥルービジネスID
申請団体の電話番号を証明するためにFAXにてご提出いただく代表電話番号証明書類の有効期間は最大13か月 申請団体の電話番号を証明するためにFAXにてご提出いただく代表電話番号証明書類の有効期間は最大39か月 BRセクション11.3の規定に準拠。
  • ジオトラスト トゥルービジネスID
CSRの部門名(OU)は認証の対象外 CSRの部門名(OU)が第三者データベースで管理される商号または屋号との完全一致した場合、使用権の確認を行う BRセクション11.2.2の規定に準拠。

2. 証明書プロファイルの変更

2-1. Certificate Policy - cPSuriおよびpolicyIdentifierの設定

  • 対象製品:ジオトラスト クイックSSLプレミアムおよびジオトラスト トゥルービジネスID
  • 適用日時:2012年6月29日(金)以降に申請いただいた証明書
  • 変更内容:
    • 2-1-1 . cPSuri

      BR Appendix B の規定に基づいて、証明書ポリシー(CP)および認証局運用規定(CPS)へのリンクを明示する目的で、拡張領域Certificate Policy(証明書ポリシー) - cPSuriを以下の通り設定します

      【変更前】
      ジオトラスト:使用しない
      【変更後】
      ジオトラスト:http://www.geotrust.com/resources/cps

    • 2-1-2 . policyIdentifier

      BR セクション9.3.4の規定に基づいて、米国シマンテックグループが発行するSSLサーバ証明書がBRへ準拠することを明示する目的で、拡張領域Certificate Policy(証明書ポリシー) - policyIdentifierを以下の通り設定します。

      【変更前】
      使用しない
      【変更後】
      2.16.840.1.113733.1.7.54

2-2. Authority Information Accessの設定

  • 対象製品:ジオトラスト クイックSSLプレミアムおよびジオトラスト トゥルービジネスID
  • 適用日時:2012年6月29日(金)以降に申請いただいた証明書
  • 変更内容:BRセクション13.2およびAppendix Bの規定に基づいて、証明書ステータス(失効情報)へのアクセス方法を明示する目的で、拡張領域Authority Information Access(機関情報アクセス)を以下の通り設定いたします。
    • 【変更前】
      使用しない
      【変更後】
      OCSPレスポンダのURLを設定

2-3. 証明書プロファイル変更点のまとめ

  • ジオトラスト トゥルービジネスIDおよびジオトラスト クイックSSLプレミアム
変更適用日 変更内容 変更前後の具体的な設定値
2012年
6月29日(金)
Certificate Policy
- cPSuriの設定
【変更前】使用しない
【変更後】
http://www.geotrust.com/resources/cps
Certificate Policy
- Policy Identifierの設定
【変更前】使用しない
【変更後】2.16.840.1.113733.1.7.54
Authority Information
Accessの設定
【変更前】使用しない
【変更後】OCSPレスポンダのURLを設定
  • ルート証明書、中間認証局証明書について、BR発効に伴う証明書プロファイル変更はございません。
  • 今回の証明書拡張領域における仕様変更はブラウザ、携帯電話などにおける通常の利用(証明書の検証)に影響を与えるものではございません。しかしながら、サーバ間通信を行うWebアプリケーションや独自の組み込み機器などにおいて、独自に証明書拡張領域の内容を確認する実装が存在する場合には、影響が及ぶ可能性がございますのでご注意ください。
  • この情報は2012年5月時点の情報であり、今後のCAブラウザフォーラムでの検討状況などにより、急遽変更される可能性があります。変更される場合はお客様への追加のレター配信やWebページへの公開などにて随時情報を公開いたします。

3. Baseline Requirements v1.0日本語参考訳

4. 本件に関するお問合せ先

日本ジオトラスト株式会社 カスタマーサポート
サポート時間 : 9:30-17:30 (土日祝日を除く)
E-mail : support@geotrust.co.jp
電話 : 03-5114-4134
専用フォーム :https://www.geotrust.co.jp/cgi-bin/mf.cgi?n=gsupport

以上