証明書の失効に関するアドバイザリ PVKM-5T8 の補足情報

Last Update: feedback 共有

こんにちは、Azure テクニカル サポート チームの飯塚です。

先日、一部の証明書の失効に伴う影響についてのアドバイザリを、以下の URL にて公開するとともに、影響を受ける可能性があるサービスをご利用いただいているお客様に、追跡 ID: PVKM-5T8 でセキュリティ アドバイザリの通知を行いました。

Revocation of non-compliant Certificate Authorities potentially impacting customer’s Azure service(s).

内容や対応については上記の URL で公開されているとおりですが、英語での案内ということもあり、わかりづらい可能性がございましたので、日本語での補足記事をご用意させていただきました。以下のとおりご案内いたします。

通知の背景

最近、CA ブラウザー フォーラム (*1) のメンバーによって、DigiCert 社の一部の中間認証局において、その管理、運用上、本来満たすべき要件の一部が満たされていないという内容が報告されました。これを受けて、該当の中間認証局より発行された証明書を失効させる措置が行われました。失効措置の対象となる証明書を利用している場合、証明書を再度取得して、失効対象の証明書と置き換える措置を行う必要があります。

対象となる認証局の情報などを含むレポートの詳細は、こちらにまとまっています。

この問題自体は認証局の問題であり、Microsoft Azure と直接関係のあるものではありません。しかし、Azure では一部のサービスにおいて、お客様が取得した証明書を持ち込んで利用するケースがあります。そのようなケースにおいて予期せずサービス影響が生じないよう、注意喚起のために、念のため弊社からも通知をさせていただきました。

(*1) CA ブラウザー フォーラムについては、JPNIC のウェブサイトにてわかりやすく説明されています。

影響を受ける可能性のあるサービス

お客様が証明書を持ち込んで適用する可能性のあるサービスとして、Azure では以下を把握しております。これらのサービスに対して、お客様が取得した証明書を持ち込んで適用している場合は、影響を受ける可能性があります。

API Management; Application Gateway; App Service; Azure Active Directory Domain Services; Azure Front Door Service; CDN

利用している証明書が失効対象かどうかの確認

影響を受ける中間認証局の情報は、以下の DigiCert 社の資料にまとまっております。

資料には、以下の中間認証局が対象という情報がまとまっています。これらの認証局から発行された証明書を利用している場合、それらは失効措置の対象となります。

  • DigiCert Global CA G2
  • GeoTrust TLS RSA CA G1
  • Thawte TLS RSA CA G1
  • Secure Site CA
  • NCC Group Secure Server CA G2
  • TERENA SSL High Assurance CA 3

対象かどうかの判断ができない場合は、念のため証明書の発行を受けた認証局にお問い合わせいただくことをお勧めいたします。なお、対象は EV 証明書のみという情報も記載がありますので、その他 (OV や DV) についても対象外と考えることができます。

必要な対処手順

もし、失効対象の証明書を Azure の各サービスに適用・利用している場合、認証局より証明書を再取得いただくとともに、それぞれのサービスにおいて証明書の入れ替えが必要になります。それぞれのサービスにおける証明書の入れ替え手順について、以下の資料でご案内させていただいておりますので、もし対象の場合は、内容をご確認のうえ、証明書の入れ替えを実施いただければと思います。

なお、DigiCert 社のアナウンスでは、7 月 11 日までに対象の証明書については入れ替えを行うようにという案内がありますが、厳密な失効のスケジュールについては、認証局にお問い合わせいただけますようお願いいたします。

API Management

Azure API Management でカスタム CA 証明書を追加する方法

カスタム ドメイン名の構成 - Azure ポータルを使用してカスタム ドメイン名を設定する

Application Gateway

My EV certificate is issued by DigiCert and my intermediate certificate has been revoked. How do I renew my certificate on Application Gateway? (現状英語版のみの提供となります)

App Service

Certificate Authorities revoking non-compliant certificates, potentially impacting your App Service (現状英語版のみの提供となります)

Azure CDN

チュートリアル:Azure CDN カスタム ドメインで HTTPS を構成する - TLS/SSL 証明書

Azure Front Door

チュートリアル:Front Door カスタム ドメインで HTTPS を構成する

Azure AD アプリケーション プロキシ

Azure AD アプリケーション プロキシでカスタム ドメインを構成する - カスタム ドメインを設定して使用する

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。