OCSP応答の署名アルゴリズム移行の
お知らせ

平素より、弊社サービスをご利用いただき誠にありがとうございます。
今般、電子認証局の国際的なルールを策定する標準化団体であるCA/ブラウザフォーラム(※1)において、認証局向けの国際基準の変更が行われました。
これにともない、弊社でも2022年5月31日までにOCSP応答（※2）の署名アルゴリズムを順次、「SHA-1ハッシュアルゴリズム」から「SHA-256ハッシュアルゴリズム」に移行いたしますので、ご理解賜りますようお願いいたします。

1. 対象となる証明書

①以下のルートCAから発行された中間CA証明書

【対象となるルートCA】

• Security Communication RootCA1　/Security Communication RootCA2
• Security Communication RootCA3　/Security Communication ECC RootCA1

②上記４種のルートCAを認証元とする中間CAから発行される証明書のうち、証明書フィールドの「機関情報アクセス（Authority Information Access）」に「オンライン証明書状態プロトコル (1.3.6.1.5.5.7.48.1)（OCSP）」が含まれている証明書。該当する証明書は以下のとおりです。

• すべてのSSL/TLSサーバー証明書
• すべてのコードサイニング証明書
• 一部のS/MIME証明書
• 一部のドキュメントサイニング証明書
• 一部のクライアント認証証明書
• 一部のタイムスタンプ証明書

2. お客様への影響

このたびの署名アルゴリズムの移行は、ほとんどのお客様に影響を生じさせないものと推察しておりますが、SHA-256ハッシュアルゴリズムをサポートしていない独自の証明書検証システムにおきましては、証明書検証エラーが発生する可能性があります。
その場合は、OCSPによる失効確認を無効にしていただき、CRLでの失効確認に切り替えていただくことによりエラーを回避できる可能性がございますので、あわせてご案内申し上げます。

3. SHA-256ハッシュアルゴリズムへの移行の背景

2022年1月に改訂された、CA/BrowserForum Baseline Requirements（※3）Version 1.8.2において、2022年5月31日までにOCSP応答のSHA-1ハッシュアルゴリズムの使用を終了しなければならない旨が定められました。これを受けて弊社におきましても、必要となる定められた期日までの署名アルゴリズム移行を実施いたします。

（※1）CA/ブラウザフォーラム
世界の著名な認証局とブラウザベンダーにて構成される証明書発行および認証局の運用に関する基準を策定する団体。

（※2）OCSP（Online Certificate Status Protocol）応答
証明書の失効状態を取得するため、認証局へ問い合わせた結果の応答。有効、失効、不明のいずれかを返す仕様。

（※3）CA/BrowserForum Baseline Requirements
CA/ブラウザフォーラムにより定められたTLSサーバー証明書のための認証局向けの国際基準。