SSL証明書の更新(認証局:ベリサイン)

ベリサイン サーバID(SSLサーバ証明書)における公開鍵長などの仕様変更について(続報)
https://www.verisign.co.jp/ssl/about/20100128b.html

最近、SSL証明書を更新することになったんですが、webサーバの仕様を変更するのが面倒だったので
公開キーの鍵長を1024bitのまま申請・購入したせいで、上記URLにある仕様変更の為に更新作業でハマりました。



SSL証明書の構造(3階層)

SSL証明書の構造(3階層)

SSL証明書の構造(4階層)

SSL証明書の構造(4階層)


ルートCA証明書・・・各自のブラウザに標準で内蔵されてます。
中間CA証明書・・・・各認証局で公開してて、webサーバで設定します。
サーバ証明書・・・・・「SSL証明書の購入」といえばこれに当たります。webサーバで設定します。
クロスルート証明書・ルート証明書を別のルート証明書で署名した中間的証明書。webサーバで設定します。

今後、第2階層にクロスルート証明書が追加になり4階層になりますが
今回の更新では、第3階層に当たるサーバ証明書が旧来のままの1024bitなので
クロスルート証明書無しかつ他証明書も1024bitのままかと思い込んでしまい、気づくまでに多大な時間を浪費してしまいました。
SSL証明書を更新する際は、上記URL内の“4. 証明書製品の仕様変更の内容について”をご参考に・・・。

以下は各設定での事象を殴り書きします。1年後の自分の為に・・・。

1.証明書が3階層(クロスルート証明書無し)かつ全証明書の公開キー鍵長が1024bit
Internet Explorer・・・OK
Firefox・・・・・・・・・・・・NG

(サイト名)は不正なセキュリティ証明書を使用しています。自己署名をしているためこの証明書は信頼されません。

(エラーコード: sec_error_untrusted_issuer)

Google Chrome・・・・OK
Safari・・・・・・・・・・・・・OK
一部の携帯電話・・・・・NG
= Firefox、一部の携帯電話以外はOK

2.証明書が3階層(クロスルート証明書無し)かつサーバ証明書は1024bitで他証明書は2048bit
Internet Explorer・・・OK
Firefox・・・・・・・・・・・・OK
Google Chrome・・・・OK
Safari・・・・・・・・・・・・・OK
一部の携帯電話・・・・・NG
= 一部の携帯電話以外はOK

3.証明書が4階層(クロスルート証明書有り)かつ全証明書は2048bit
Internet Explorer・・・OK
Firefox・・・・・・・・・・・・OK
Google Chrome・・・・OK
Safari・・・・・・・・・・・・・OK
一部の携帯電話・・・・・OK
= 全てOK

========================================================================
メモ
・各証明書の公開キー鍵長の確認方法(Firefox)
[アドレスバー左のドメインボタン]を左クリック→[詳細を表示]→[セキュリティ]タブ→[詳細を表示]
→[詳細]タブ→[証明書の階層]で各証明書を選択→[証明書のフィールド]で[Subject’s Public Key]→[フィールドの値]にある”Modulus (2048 bits):”

各証明書の公開キー鍵長(firefox)

各証明書の公開キー鍵長(firefox)


・ベリサインでwebサーバ(https://~)のSSL証明書は”セキュア・サーバID”に当たる
・クロスルート証明書のインストール方法(2種類の中間CA証明書の設定順番)

—–BEGIN CERTIFICATE—–
第3階層中間CA証明書
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
第2階層中間CA証明書(クロスルート証明書)
—–END CERTIFICATE—–