SSL 証明書の更新に関するアナウンス


本日、Azure サービスの証明書更新に関する通知がお客様に送信されました。

この通知は日本のお客様に対しても英語で送信されてしまい、すぐに対処が必要なのか、なにかリスクが発生しているのかなどがわかりにくく、ご心配をおかけしてしまっているのではないかと思います。

今回の通知について、米国本社の下記ブログ記事をベースに、日本語版のご案内を以下に用意いたしました。以下の内容にて、ご覧いただけますと幸いです。

参考: Azure TLS Certificates changes

はじめに

安全に Azure サービスをご利用いただけるよう、多くのサービスでは SSL/TLS によるアクセスを提供しています。このときに使用されるサーバー証明書は、あらかじめ定められた、マイクロソフトの中間証明機関から発行されています。証明機関の詳細は、Certificate Practice Statement (CPS) で情報公開されております。

一部のお客様は、Certificate Pinning とよばれる仕組みをアプリケーションに実装しています。Certificate Pinning とは、(非常に簡易的に説明しますと) クライアント アプリケーション側で、信頼する証明書をあらかじめ指定する仕組みです。

証明機関のリプレースなどで証明書が変更される場合、Certificate Pinning を実装しているアプリケーションでは、新しい証明機関が信頼されるようアップデートが必要になります。仮にアプリケーションの更新が行われないと、新しく変わったサーバー証明書の信頼性を確認できず、SSL/TLS 通信ができません。このようなことを防ぐために、マイクロソフトはいきなり証明機関を変更するのではなく、あらかじめアナウンスして、実際の変更までに準備期間を設けています。

現在、Azure サービス向けの証明書を発行している中間証明機関は、2018 年 5 月に期限を迎えます。これを受けて、マイクロソフトはあらたな中間証明機関を 2016 年 7 月に公開しており、Azure のサービスではこの新たな中間証明機関によって署名された証明書の利用を 2017 年 7 月 27 日から開始します。Certificate Pinning などの仕組みで、証明書が変わることで影響を受けるようなアプリケーションをご利用いただいている場合は、2017 年 7 月 27 日までに、あらたな証明書に対応できるよう、アプリケーションのアップデートが必要になります。

変更点

現在、Azure サービス向けの TLS 証明書は、以下の中間証明機関から発行されています。

CN 拇印
Microsoft IT SSL SHA2 97 ef f3 02 86 77 89 4b dd 4f 9a c5 3f 78 9b ee 5d f4 ad 86
Microsoft IT SSL SHA2 94 8e 16 52 58 62 40 d4 53 28 7a b6 9c ae b8 f2 f4 f0 21 17

2017 年 7 月 27 日以降、Azure サービス向けの TLS 証明書は、上記の 2 つに加えて、以下の 4 つの中間証明機関からも発行されるようになります。

CN 拇印
Microsoft IT TLS CA 1 41 7e 22 50 37 fb fa a4 f9 57 61 d5 ae 72 9e 1a ea 7e 3a 42
Microsoft IT TLS CA 2 54 d9 d2 02 39 08 0c 32 31 6e d9 ff 98 0a 48 98 8f 4a df 2d
Microsoft IT TLS CA 4 8a 38 75 5d 09 96 82 3f e8 fa 31 16 a2 77 ce 44 6e ac 4e 99
Microsoft IT TLS CA 5 ad 89 8a c7 3d f3 33 eb 60 ac 1f 5f c6 c4 b2 21 9d db 79 b7

* CA#3 がスキップされておりますが、無視してください。

発行者の情報は、以下のようになります (CN 以外に現行からの変更はありません)。

  • CN = Microsoft IT TLS CA 1 [2,4,5]
  • OU = Microsoft IT
  • O = Microsoft Corporation
  • L = Redmond
  • S = Washington
  • C = US

また、以下のとおり CRL (証明書失効リスト) のエンドポイントと、OCSP のエンドポイントも変更されますので、これらのエンドポイントにアクセスできることを確認してください。

従来の CRL 配布ポイント http://cdp1.public-trust.com/CRL/Omniroot2025.crl
新しい CRL 配布ポイント http://crl3.digicert.com/Omniroot2025.crl
OCSP http://ocsp.digicert.com

この情報は、Certificate Practice Statement (CPS) でも公開されております。

この変更による影響

ほとんどのお客様には、この変更による影響はありませんが、以下のような場合には、影響を受ける可能性があります。

  1. 上述したような Certificate Pinning の仕組みで、信頼する証明書を管理するアプリケーションをご利用の場合。
  2. 新しい CRL 配布ポイントや OCSP へのアクセスができないような、ファイアウォールやプロキシーのルールが設定されている場合。

Certificate Pinning の影響を受ける可能性があるかは、以下のような方法で確認ができます。

  1. アプリケーションのソースコードに、現在の中間証明書の拇印である “‎97 ef f3 02 86 77 89 4b dd 4f 9a c5 3f 78 9b ee 5d f4 ad 86”“94 8e 16 52 58 62 40 d4 53 28 7a b6 9c ae b8 f2 f4 f0 21 17” を指定している箇所がないかを確認する。ソースコードにこれらが含まれている場合、これらの証明書しか信頼しないというコードが組み込まれている可能性があります。
  2. もしサードパーティから購入したアプリケーションの場合は、アプリケーションの開発ベンダーに確認する。

もし Certificate Pinning の影響を受ける可能性がある場合、新しい中間証明機関を信頼するようにアップデートが必要です。

同様に、CRL 配布ポイントや OCSP へのアクセスができない場合は、それらにアクセスできるように、ファイアウォールやプロキシー サーバーの設定変更が必要です。

FAQ

現在の中間証明機関の利用はいつ停止しますか?
現在の中間証明機関から発行された証明書は、2018 年 5 月 7 日に有効期限を迎えます。それ以降は、古い証明書を信頼する必要はありません。
全ての Azure サービスで、2017 年 7 月 27 日に同時に証明書が更新されますか?
いいえ、証明書の更新は段階的に、サービスによって異なるタイミングで行われます。すぐにすべてのサービスで証明書が更新されるわけではありません。

Comments (1)

  1. 寳田誠一 より:

    とても分かりやすい説明ありがとうございます!!
    お恥ずかしながら英語力乏しいので本ブログ記事でよく理解できました。

    ところで英語メールは、クラシックモデル(?)のサービス管理者/共同管理者に加えて、
    RBACの所有者ロールにも通知メールが来た初の事例じゃないかなー。
    そういう意味では貴重な案件でした^^。

Skip to main content