サービス名から探す : CDN/Edge Platform Powered by Akamaiに関するお知らせ

サービスに関するメニュー・サポート情報

サービスに関するメニュー・サポート情報

[Update]Google ChromeブラウザにおけるEntrust発行TLSサーバー証明書の信頼喪失について

お客様各位

平素より弊社CDN(プラン2: Akamai)をご利用いただきまして誠にありがとうございます。

■2024年9月26日 更新

[影響のあるお客様]
Akamaiエッジサーバーまたはお客様オリジンにてEntrust発行のTLSサーバー証明書(AffirmTrustも含む)をご利用のお客様

[概要]
2024年07月26日にお知らせした内容に以下を追加いたしました。

<追加内容>
Googleから以下の発表(※)がございました。
該当のお客様は内容をご確認の上、必要な対応を実施いただきますようお願い申し上げます。

Google Chromeブラウザは2024年11月12日以降、Entrustをルート認証局として発行されたTLSサーバー証明書を信頼しなくなります。
ただし、それ以降、Entrustは提携先であるSSL.comをルート認証局とした証明書を発行することとなっており、こちらは信頼されます。

 ※詳細はこちらの記事をご参照ください。
  Sustaining Digital Certificate Security - Entrust Certificate Distrust
  https://security.googleblog.com/2024/06/sustaining-digital-certificate-security.html


[お客様側のご対応について]
オリジンサーバーがEntrustまたはAffirmTrustによって発行された証明書を使用している場合、
以下のいずれかのご対応を実施いただくようお願い申し上げます。
(ご対応いただかない場合はエラーとなりコンテンツ配信に影響がございます)
※Akamaiエッジサーバーでご利用の場合のご対応につきましては2024年07月26日のご案内の通りです。

1.2024年11月12日以降に改めてEntrust上で証明書更新を行う
 ※これにより、認証局がSSL.comのものになるため、Akamai上で信頼される証明書となります。

2.別の認証局から発行される証明書に切り替える
 ※配信設定上の、オリジンサーバの設定において、「Akamai Certificate Storeに含まれる認証局を信頼する」
という設定になっている場合は、引き続き、そのリストに含まれる認証局から発行される証明書を利用することを推奨します。
もしAkamai Certificate Storeに含まれない認証局の証明書を利用する場合は、実装方法についてご相談ください。


[注意事項]
SSL.comに関わるルート認証局の6つのうち、現在4つのみがAkamai Certificate Storeに登録されております。
残りの2つは、11月上旬にAkamai Certficate Storeに登録される予定ですが、それまでにオリジンサーバ証明書を更新される場合、
発行されたサーバ証明書のルート認証局が現時点で登録されているものかをご確認ください。

もし2024年11月上旬に登録される予定の2つのルート認証局を利用する場合、Akamai Certficate Storeに登録されるまで待ってから、オリジンサーバ証明書の更新を行なっていただくか、Property上でカスタム認証局の登録を行う必要がございます。
カスタム認証局の対応について、サポートが必要な場合はご相談ください。

<2024/9月時点で登録されているもの>
C=US, ST=Texas, L=Houston, O=SSL Corporation, CN=SSL.com EV Root Certification Authority ECC
C=US, ST=Texas, L=Houston, O=SSL Corporation, CN=SSL.com EV Root Certification Authority RSA R2
C=US, ST=Texas, L=Houston, O=SSL Corporation, CN=SSL.com Root Certification Authority ECC
C=US, ST=Texas, L=Houston, O=SSL Corporation, CN=SSL.com Root Certification Authority RSA

<2024/11月頃に登録されるもの>
C=US, O=SSL Corporation, CN=SSL.com TLS ECC Root CA 2022
C=US, O=SSL Corporation, CN=SSL.com TLS RSA Root CA 2022
2024年11月上旬に登録予定の2つのルート認証局の具体的な登録日は決まり次第、以下のAkamai Community記事に掲載予定です。

https://community.akamai.com/customers/s/article/Entrust-certificate-distrust-2024?language=en_US
Akamai設定上のオリジンサーバの証明書にEntrustから発行されたものが含まれるかをご確認いただき、
必要に応じて、上記1、2のご対応を2025年11月30日までに実施いただけますよう、お願いいたします。
ご理解を賜りますよう、どうぞ宜しくお願い申し上げます。

<お問合せ先>

障害に関するお問い合わせ: cdn-trouble@ntt.com
CDN全般についてのお問い合わせ: cdn-query@ntt.com

■2024年7月26日 掲載

お客様各位

平素より弊社CDN(プラン2: Akamai)をご利用いただきまして誠にありがとうございます。

[影響のあるお客様]
Akamaiエッジサーバーまたはお客様オリジンにてEntrust発行のTLSサーバー証明書をご利用のお客様

[概要]
GoogleはGoogle Chromeブラウザが2024年10月31日以降、Entrust (および同社のAffirmTrustブランド) が
発行したTLSサーバー証明書を信頼しないことを発表しました。

Google Chromeブラウザを使用しているユーザーが、2024年10月31日以降にEntrustが発行したTLSサーバー証明書で
保護されたサイトに接続しようとすると、エラーメッセージが表示されるようになります。
2024年10月31日以前に発行されたEntrust証明書を使用しているサイトは、証明書の有効期限が切れるまで引き続き機能します。

現時点においては他の主要なブラウザである Apple Safari、Microsoft Edge、Mozilla Firefoxは、Entrustが発行した証明書の信頼についての変更を発表しておりません。

ChromeによるEntrust証明書の信頼性の低下は、サードパーティー証明書の持ち込みではないAkamai管理のDV、OV、EV証明書には影響いたしません。
また、EntrustおよびAffirmTrust以外の認証局(CA)からのサードパーティ証明書に影響はございません。

Googleからの発表の詳細については、以下の記事をご参照ください。

Google Online Security Blog:Sustaining Digital Certificate Security-Entrust Certificate Distrust
https://security.googleblog.com/2024/06/sustaining-digital-certificate-security.html


■Akamaiの対応について

AkamaiはEntrustが発行したサードパーティー証明書として既にエッジサーバーに導入済みの証明書に対して何も変更を行いません。
Entrustが発行したすべての証明書は、発行日にかかわらず、有効期限が切れるまでアカマイの証明書管理システムで使用し続けることができます。
ただし、EntrustおよびAffirmTrustルート証明書によって発行されたすべての証明書をできるだけ早く置き換えて、
Google Chromeクライアントへの安全なトラフィック配信の中断を回避することをお勧めいたします。

Akamaiエッジサーバーからお客様オリジンへの接続では、AkamaiプラットフォームはEntrustおよびAffirmTrustルートによって署名された証明書を当面の間信頼しますが、AkamaiはChromeの信頼性喪失日から4か月後に、すべてのEntrustおよびAffirmTrustルート証明書をAkamaiTrustストアから削除して信頼しなくなる予定です。
現時点では、2025年3月1日以降、Akamaiはオリジン接続に対してEntrustまたはAffirmTrustが発行する証明書を信頼しなくなる見込みです。
この変更は発行日に関係なく、EntrustおよびAffirmTrustによって発行されたすべてのオリジン証明書に影響します。


2025年3月1日にAkamai Trust storeから削除される特定のルート証明書:

C=US, O=AffirmTrust, CN=AffirmTrust Commercial
C=US, O=AffirmTrust, CN=AffirmTrust Networking
C=US, O=AffirmTrust, CN=AffirmTrust Premium
C=US, O=AffirmTrust, CN=AffirmTrust Premium ECC
C=US, O=Entrust, Inc., OU=See www.entrust.net/legal-terms, OU=(c) 2009 Entrust, Inc. - for authorized use only, CN=Entrust Root Certification Authority - G2
C=US, O=Entrust, Inc., OU=See www.entrust.net/legal-terms, OU=(c) 2012 Entrust, Inc. - for authorized use only, CN=Entrust Root Certification Authority - EC1
C=US, O=Entrust, Inc., OU=See www.entrust.net/legal-terms, OU=(c) 2015 Entrust, Inc. - for authorized use only, CN=Entrust Root Certification Authority - G4
C=US, O=Entrust, Inc., OU=www.entrust.net/CPS is incorporated by reference, OU=(c) 2006 Entrust, Inc., CN=Entrust Root Certification Authority
O=Entrust.net, OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.), OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Certification Authority (2048)


■お客様側のご対応について

- Akamaiエッジサーバーでご利用の場合:
トラフィックの中断を回避するには、EntrustとAffirmTrustによって発行されたすべての証明書を置き換える必要がございます。
サードパーティー証明書としてAkamaiエッジサーバーに当該証明書を導入されている場合は、NTTコミュニケーションズCDNクエリ担当(cdn-query@ntt.com)までご相談ください。

- オリジンサーバーがEntrustまたはAffirmTrustによって発行された証明書を使用している場合:
オリジン証明書が2024年10月31日以前の発行の場合でも、できるだけお早めに、必ず2025年3月1日より前に置き換える必要がございます。NTTコミュニケーションズCDNクエリ担当(cdn-query@ntt.com)までご相談ください。


本件につきましては、以下の記事をご参照ください。
https://community.akamai.com/customers/s/article/Entrust-certificate-distrust-2024?language=en_US

ご理解を賜りますよう、どうぞ宜しくお願い申し上げます。

<お問合せ先>

障害に関するお問い合わせ: cdn-trouble@ntt.com
CDN全般についてのお問い合わせ: cdn-query@ntt.com

前のページへ戻る