弊社ASJペイメントサービスにおける
SSL証明書の SHA-2 対応について
2015年3月2日
株式会社ASJ
お客様各位
平素よりASJペイメントサービスをご利用いただきまして、ありがとうございます。
この度、弊社が提供しているASJペイメントサービスのサーバで利用している全てのSSL 証明書において、証明書のハッシュアルゴリズムを SHA-1 から、段階的に、SHA-2 へ仕様変更することとなりましたので、ご報告致します。
また、これに伴ない、SSL/TLS通信が出来る要件にも仕様の変更がありますため、ご確認を頂けますようお願い致します。
この段階的な仕様変更につきましては、暗号技術の標準化を行なっておりますNIST(アメリカ国立標準技術研究所)の勧告に基づき、証明書発行会社および、ブラウザ側にて、世界的に進められておりますものでありますため、何卒ご理解を賜りますようお願い致します。
- 記 -
適用日時:2015年3月2日(月)より順次
適用範囲:
-
ASJペイメントサービスで提供しているクレジットカード決済を含む決済関連サーバ
(www.asjpayment.jp(asjpayment.jp) および pmt.asj.ne.jp)へのHTTPS(SSL)接続利用時のSSL - ASJペイメント管理画面を含むサービスサイトでのHTTPS(SSL)接続利用時のSSL
実施項目:
ASJペイメントサービスのサーバに導入されているSSL証明書のうち、2015年内に更新時期となるSSL証明書をハッシュアルゴリズム SHA-2 に対応した証明書とし、ASJペイメントサービスで導入されているSSL証明書からSHA-1 証明書を段階的に廃止するものとします。
なお、証明書の発行元は日本ジオトラスト社の発行する SHA-2 対応証明書とします。
- 日本ジオトラスト株式会社:
https://www.geotrust.co.jp/ - 日本ジオトラスト株式会社SHA-2証明書詳細ページ:
https://www.geotrust.co.jp/products/sha2-migration.html
実施理由:
NISTによる SSL 証明書における SHA-1 アルゴリズム廃止の勧告に基づき、各Webブラウザーベンダが SHA-1 アルゴリズムの段階的な廃止を進めるのスケジュールを公表しています。
とくに Google 社は、 Google Chrome において、今年末~来年始めのリリースから、2016年内を有効期限としている、SHA-1 証明書を利用している SSL/TLS接続の場合に、警告を表示するという方策を打ち出しています。
弊社と致しましても、そういった情勢を鑑み、段階的なSHA-2 証明書への乗り換えが必要と判断致しました。
- ベリサイン(現シマンテック)による解説:
http://www.symantec.com/ja/jp/page.jsp?id=ssl-sha2-transition - 日本ジオトラストによる解説:
https://www.geotrust.co.jp/news/2014/20140918.html
影響範囲:
o Webブラウジングについて:
PC のブラウザ、スマートフォンのブラウザなどは、古くから、SHA-2 証明書の対応しておりますため、影響が出る可能性はほぼありません。
携帯電話(フィーチャーフォン)につきましては、接続対応機種に変更があります。
日本ジオトラスト株式会社より、フィーチャーフォンでの対応の検証リストが公開されておりますので、こちらをご確認頂けますようお願いいたします。(*)
https://www.geotrust.co.jp/products/doc/1412560977.pdf
※ 日本ジオトラスト株式会社の検証リストにつきましては、日本ジオトラスト株式会社の独自の検証によるものであり、弊社がその検証状況を保証するものではございませんので、あらかじめご了承いただけますようお願いいたします。
現行状況:
www.asjpayment.jp : 2015年3月2日 SHA-2対応証明書に更新済
pmt.asj.ne.jp : 2015年6月中旬ごろ SHA-2対応証明書に更新予定(*)
※ 予定につきましては、世界的な情勢の変化などにより前後する場合がございます。
お客様およびご利用ユーザ様には、大変お手数をお掛け致しますが、セキュリティ保護の観点から必須の対策となりますので、何卒ご理解を賜りますようお願い申し上げます。
SSLを利用したセキュア通信につきましては、今後も、TLSの上位のバージョンのサポートや、SHA2証明書への切り替えなど、様々な観点から注力し、情報セキュリティ対策をより一層進めていく所存でございます。
以上