ベリサイン サーバID(SSLサーバ証明書)における公開鍵長などの仕様変更について(続報)
https://www.verisign.co.jp/ssl/about/20100128b.html
最近、SSL証明書を更新することになったんですが、webサーバの仕様を変更するのが面倒だったので
公開キーの鍵長を1024bitのまま申請・購入したせいで、上記URLにある仕様変更の為に更新作業でハマりました。
 SSL証明書の構造(3階層) |  SSL証明書の構造(4階層) |
・ルートCA証明書・・・各自のブラウザに標準で内蔵されてます。
・中間CA証明書・・・・各認証局で公開してて、webサーバで設定します。
・サーバ証明書・・・・・「SSL証明書の購入」といえばこれに当たります。webサーバで設定します。
・クロスルート証明書・ルート証明書を別のルート証明書で署名した中間的証明書。webサーバで設定します。
今後、第2階層にクロスルート証明書が追加になり4階層になりますが
今回の更新では、第3階層に当たるサーバ証明書が旧来のままの1024bitなので
クロスルート証明書無しかつ他証明書も1024bitのままかと思い込んでしまい、気づくまでに多大な時間を浪費してしまいました。
SSL証明書を更新する際は、上記URL内の“4. 証明書製品の仕様変更の内容について”をご参考に・・・。
以下は各設定での事象を殴り書きします。1年後の自分の為に・・・。
1.証明書が3階層(クロスルート証明書無し)かつ全証明書の公開キー鍵長が1024bit
Internet Explorer・・・OK
Firefox・・・・・・・・・・・・NG
| (サイト名)は不正なセキュリティ証明書を使用しています。自己署名をしているためこの証明書は信頼されません。
(エラーコード: sec_error_untrusted_issuer) |
Google Chrome・・・・OK
Safari・・・・・・・・・・・・・OK
一部の携帯電話・・・・・NG
= Firefox、一部の携帯電話以外はOK
2.証明書が3階層(クロスルート証明書無し)かつサーバ証明書は1024bitで他証明書は2048bit
Internet Explorer・・・OK
Firefox・・・・・・・・・・・・OK
Google Chrome・・・・OK
Safari・・・・・・・・・・・・・OK
一部の携帯電話・・・・・NG
= 一部の携帯電話以外はOK
3.証明書が4階層(クロスルート証明書有り)かつ全証明書は2048bit
Internet Explorer・・・OK
Firefox・・・・・・・・・・・・OK
Google Chrome・・・・OK
Safari・・・・・・・・・・・・・OK
一部の携帯電話・・・・・OK
= 全てOK
========================================================================
メモ
・各証明書の公開キー鍵長の確認方法(Firefox)
[アドレスバー左のドメインボタン]を左クリック→[詳細を表示]→[セキュリティ]タブ→[詳細を表示]
→[詳細]タブ→[証明書の階層]で各証明書を選択→[証明書のフィールド]で[Subject’s Public Key]→[フィールドの値]にある”Modulus (2048 bits):”
各証明書の公開キー鍵長(firefox)
・ベリサインでwebサーバ(https://~)のSSL証明書は”セキュア・サーバID”に当たる
・クロスルート証明書のインストール方法(2種類の中間CA証明書の設定順番)
| —–BEGIN CERTIFICATE—– 第3階層中間CA証明書 —–END CERTIFICATE—– —–BEGIN CERTIFICATE—– 第2階層中間CA証明書(クロスルート証明書) —–END CERTIFICATE—– |