IIS 用 VeriSign Web サーバー証明書の更新 : VeriSign 中間証明書の期限切れが原因で SSL を使用したサイトへの接続が確立されない

文書翻訳 文書翻訳
文書番号: 834438 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

従来の VeriSign 128 ビット International (Global) Server Intermediate 証明機関証明書は、2004 年 1 月 7 日付で期限切れとなりました。これにより、最新の証明書を持っていない Web サーバーやその他の SSL/TLS (Transport Layer Security) 対応アプリケーションに対してサーバー認証 SSL (Secure Socket Layer) 接続を確立する際に、クライアントで問題が発生することがあります。

このような問題を防ぐには、Microsoft インターネット インフォメーション サービス (IIS) オペレータが VeriSign に問い合わせて、Secure Hypertext Transfer Protocol を使用して Web サイトに接続できるように、128 ビット SSL を使用するサーバーの中間証明機関証明書を更新する必要があります。

影響

更新済みの証明書を持っていない Web サーバーに対して、クライアントは SSL で保護された接続を確立できません。

推奨される解決方法

最新の VeriSign 中間証明書をインストールします。

影響を受けるソフトウェア

  • Microsoft Internet Information Server
  • Microsoft Internet Security and Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

技術情報

技術的な説明

VeriSign は、期限切れの近い、あるいは既に期限切れになった多数の証明書および証明書失効リスト (CRL) を管理しています。これは珍しいことではありません。一般に、証明書や CRL の有効期間は短く設計されています。しかし、有効期間を延長するために証明書が再発行されることがあります。これは通常は問題ではありませんが、サーバーのリソースに接続するセッションの保護のために SSL (Secure Socket Layer) を使用しているサーバーでは、問題が発生する場合があります。

サーバー オペレータが VeriSign から入手した SSL 証明書と共に、関連する発行証明機関の証明書をインストールし、その後で SSL 証明書を更新する場合、中間発行の証明書も同時に更新する必要があります。

更新された証明書をインストールするには、次の VeriSign Web サイトにアクセスして、最新の証明書の入手方法およびインストール方法を確認します。
http://www.verisign.co.jp/server/help/install/caReplacement.html

関連情報

X.509 証明書の検証は複数のフェーズで構成されています。パスの検出、パスの検証などのフェーズがあります。

パスの検出は、有効なエンティティによって発行された証明書であるかどうかを確認するプロセスです。以下のような多くの方法があります。
  • クライアントは多くの場合、中間証明書のキャッシュを保持しています。中間証明書とは、有効なルート証明機関によって最終的に発行されたことが実証済みの証明書です。

    証明書には、追加の関連情報へのポインタを提供する拡張機能が含まれている場合があります。この種の拡張機能の例として、機関情報アクセス (AIA) 拡張機能があります。AIA 拡張機能は証明書の発行元を指すポインタを提供します。

    : この問題に関係している VeriSign 証明書を含め、すべての証明書にこのポインタが含まれているわけではありません。マイクロソフトは、証明書の発行元に対して、今後発行する証明書にこの情報を追加するように、積極的な働きかけを継続的に行っています。この拡張機能の詳細については、IETF (Internet Engineering Task Force) RFC (Request for Comments) 3280 を参照してください。
  • サーバーがクライアントに追加情報を提供することができます。この方法の 1 つの例が、SSL です。SSL ネゴシエーションでは、サーバーはクライアントに対して、サーバー自身の証明書と、クライアントがサーバーの確認に使用できるとサーバーが判断した証明書を提供します。

パスの検証は、検出されたパスを確認するプロセスです。パスの検証では、証明書上の各署名に対する暗号化検証が行われます。また、発行者のポリシーが適用されているかどうかの確認も行われます。確認されるポリシーには以下のものがあります。
  • その証明書が現在も有効であり、証明書の発行を受けた本来の所有者によって現在も管理されているかどうか。この動作は "証明書失効チェック" とも呼ばれます。Windows はこの検証を行うために暗号化オブジェクト、証明書失効リスト (CRL) をサポートしています。
  • 証明書が、発行者が意図した目的に使用されているかどうか。たとえば、電子メール用に発行された証明書が、(SSL で行われるように) Web サーバーが特定のドメイン名に関連付けられていることを証明するために使用されている場合は、信頼できません。
  • 証明書の有効期限が切れていないかどうか。セキュリティ上の理由から、証明書には有効期限があります。発行者は、発行者が信頼される期間を超えて、個人またはリソースが偽装されていないことを証明することはできません。

よく寄せられる質問 (FAQ)

これはセキュリティ上の脆弱性ですか。

いいえ。これは影響を受けるどの製品においても、セキュリティ上の脆弱性ではありません。この問題は、サードパーティのデジタル証明書の有効期限が切れた結果にすぎません。

問題の対象範囲を教えてください。

主要な証明機関である VeriSign, Inc. は、最近、"VeriSign International Server CA - Class 3" 証明機関の証明書を、より長い有効期間の証明書に更新しました。この更新後に Web サーバー オペレータが SSL 証明書を更新した場合、その Web サーバーのユーザーが自分の組織と Web サーバーとが実際に関連付けられていることを確認する際に、問題が発生することがあります。

問題の解決方法を教えてください。

この問題は、各 Web サーバーの中間証明機関 (CA) 証明書を手動で更新することにより解決できます。この証明書を入手するには、次の VeriSign Web サイトにアクセスしてください。
http://www.verisign.co.jp/server/help/install/caReplacement.html
これがサーバーの問題であるなら、なぜクライアントでエラーが発生するのですか。

この問題は、クライアントが Web サーバーに対して、セキュリティで保護された接続を確立する際に発生します。接続を確立する過程で、サーバーはクライアントに多数の証明書を送信します。クライアントはこれらの証明書を使用して、サーバーの証明書の妥当性を検証します。この場合、中間証明機関の 1 つ ("VeriSign International Server CA - Class 3" CA) が期限切れになっています。この中間証明書は無効です。このため、ユーザーに対して、セキュリティで保護された接続を確立できないことを通知する警告メッセージがブラウザに表示されます。

マイクロソフトの証明書にも影響がありますか。

いいえ。これらの証明書は VeriSign, Inc. が発行および所有しています。VeriSign はマイクロソフトが運営するプログラムに参加しています。このプログラムでは、サードパーティの信頼されるプロバイダがマイクロソフトのユーザーのために、セキュリティで保護されたインターネット商取引を支援します。このプログラムの詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/archive/security/news/rootcert.mspx
Microsoft ルート証明書プログラムにはどのような証明機関が参加していますか。

Microsoft ルート証明書プログラムに現在参加している、信頼されるサードパーティの一覧については、次のマイクロソフト Web サイト (英語情報) を参照してください。
http://msdn2.microsoft.com/en-us/library/ms995347.aspx
マイクロソフトは、Microsoft Internet Explorer で使用されている証明書を今後更新しますか。

はい。Microsoft ルート証明書プログラムの一環として、信頼されるルート証明機関の一覧は四半期ごとに更新されます。Microsoft Windows XP および Microsoft Windows Server 2003 のユーザーの場合、この更新は、チェーン検査エンジンに対して、自身が信頼していない証明書が提示されたときに行われます。この更新が行われると、証明書がルート証明書プログラムに追加されているかどうかを確認するために、Windows Update への問い合わせが行われます。Windows XP 以前のクライアントでは、推奨パッケージが Windows Update に公開され、これを手動でダウンロードできます。企業ユーザーの場合、信頼されるサードパーティのいずれを自社のユーザーに信頼させるかを自身で判断することを推奨します。

: Microsoft ルート証明書プログラムが提供する更新では、VeriSign 中間証明書の有効期間満了により発生する問題は解決されません。

解決方法

この問題を解決するには、各サーバーの中間 CA 証明書ストアを最新の VeriSign International Server Intermediate CA で更新します。

関連情報

CryptoAPI による証明書チェーンの作成および失効状態の検証については、次のマイクロソフト Web サイト (英語情報) を参照してください。
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/crypto/tshtcrl.mspx

サポート

Microsoft Product Support Services の電話番号一覧およびサポート料金については、次のマイクロソフト Web ページを参照してください。
http://support.microsoft.com/contactus/?ws=support
: Microsoft Support 担当者が、特定の更新プログラムを適用することにより問題が解決されると判断した場合、まれに通常サポート依頼にかかる料金が免除されることがあります。ただし、特定の更新プログラムの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

セキュリティに関するリソース

マイクロソフト製品のセキュリティの詳細については、次の Microsoft TechNet Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/default.mspx

注意事項

「サポート技術情報」 (Microsoft Knowledge Base) に記載されている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。Microsoft Corporation およびその供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません (Microsoft Corporation またはその供給者がかかる損害の発生可能性を了知している場合を含みます)。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

プロパティ

文書番号: 834438 - 最終更新日: 2007年12月4日 - リビジョン: 5.3
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
キーワード:?
kbinfo KB834438
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com