2024年5月8日、デジタル証明書の大手ベンダー Digicert社 より、表記誤りのあるEV証明書の報告と、その失効措置が2024年5月12日に予定されている旨の案内がありました。
2023年 9月から同年12月中旬までに発行しているEV TLS/SSL証明書のうち、Subjectに記載のBusiness Category フィールド(subject:businessCategory)の表記に誤りがある証明書が失効の対象となります。
当該フィールドは以下のどれがの値を含む必要がございますが、これらについては大文字小文字が以下の表記のままである必要があります。
- Private Organization
- Government Entity
- Business Entity
- Non-Commercial Entity
今回、以下の環境を利用した EV証明書の確認方法と、 5月12日の失効対象になる表記誤りの調査する機会がありましたので、紹介させていただきます。
- Google Chrome (バージョン: 124.0.6367.156)
- OpenSSL 3.0.8 7 Feb 2023 (Library: OpenSSL 3.0.8 7 Feb 2023)
確認対象
以下の2サイトを対象に、EV証明書の表記不備を確認しました。
- digicert社のトップページ
- 筆者が口座を保有していた銀行 (インターネットバンキングページ)
digicert
Chrome
digicert社のページを表示中のChromeブラウザで、URLバー左のアイコンより、証明書ビューアを開きます。
証明書の詳細を確認します。
証明書ビューアー
DigiCert の EV証明書が利用されていました。
一般名(CN) DigiCert EV RSA CA G2Subjectに記載のBusiness Category フィールドより、businessCategory値の表記誤りの有無を確認しました。
「www.digicert.com」 → 「証明書」 → 「件名」 のフィールド値を確認。
businessCategory = Private Organization「Organization」は正しい大文字で始まる表記、2024年5月12日の失効対象外でした。
OpenSSL
$ openssl s_client -connect www.digicert.com:443 -showcerts
CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root G2
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert EV RSA CA G2
verify return:1
depth=0 jurisdictionC = US, jurisdictionST = Utah, businessCategory = Private Organization, serialNumber = 5299537-0142, C = US, ST = Utah, L = Lehi, O = "DigiCert, Inc.", CN = www.digicert.com
verify return:1
---
Certificate chain
0 s:jurisdictionC = US, jurisdictionST = Utah, businessCategory = Private Organization, serialNumber = 5299537-0142, C = US, ST = Utah, L = Lehi, O = "DigiCert, Inc.", CN = www.digicert.com
i:C = US, O = DigiCert Inc, CN = DigiCert EV RSA CA G2
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Oct 6 00:00:00
(略)インターネットバンキングページ
DigiCertのページと同様の手順で、筆者が利用しているインターネットバンキングのページを対象に、証明書の確認を試みました。
確認を試みた2024年5月8日時点、 不具合として報告された businessCategoryの値 「organization」の記載が小文字で始まる事から、 2024年 5月 12日午前1時(日本時間)の失効措置が取られる、記載不備のあるEV証明書が利用されていました。
Chrome
- 発行元
一般名(CN) DigiCert EV RSA CA G2- 詳細 → 証明書のフィールド → 件名
businessCategory = Private organizationOpenSSL
$ openssl s_client -connect ***.**.****.jp:443 -showcerts
CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root G2
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert EV RSA CA G2
verify return:1
depth=0 jurisdictionC = JP, businessCategory = Private organization, serialNumber = 0100-01-******, C = JP, ST = Tokyo, L = Chiyoda-ku, O = "**** Bank, Ltd.", CN = ***.**.****.jp
verify return:1
---
Certificate chain
0 s:jurisdictionC = JP, businessCategory = Private organization, serialNumber = 0100-01-******, C = JP, ST = Tokyo, L = Chiyoda-ku, O = "*** Bank, Ltd.", CN = ***.**.****.jp
i:C = US, O = DigiCert Inc, CN = DigiCert EV RSA CA G2
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Oct 3 00:00:00 2023 GMT; NotAfter: Nov 2 23:59:59 2024 GMTまとめ
今回、失効措置が取られる可能性があるのは、Digicert が2023年 9月から同年12月中旬までに発行した一部の EV証明書のみ。それ以外、AWS Certificate Manager(ACM)で発行、無料で利用できる DV証明書などについては影響はありません。
DigiCert は 以下のようなサイトで、EV証明書の利用を推奨しています。
EV(Extended Validation)証明書は、最高レベルのブランドアイデンティティセキュリティを提供し、認証時には 16 項目の認証チェックが実行されます 適している Web サイトやページ:
- グローバルな銀行および金融サービス
- フォーチュン 500 企業
- グローバル 2000 企業
- 電子商取引サイト
- エンタープライズ
企業の実在性を証明するために導入したEV証明書が、 2024年 5月 12日午前1時(日本時間)に失効措置の対象であった場合、HTTPSを利用したサイトアクセスが不能となる事で障害となる可能性があります。
DigiCert 社の EV証明書、国内代理店経由で調達した場合の価格は1年12万円強。
1年 126,720円
SSLストア購入価格: DigiCert EV SSL Plus
EV証明書を購入して利用している可能性がある場合、利用中の証明書を確認頂き、万が一不具合に該当していた場合には、証明書ベンダーの案内に従ったメンテナンスを至急実施いただくことをおすすめします。
46
