1. No category

2014 月 2 月
ジェイサート株式会社
Re: クロスルート証明書について
１．
スターフィールド SSL サーバ証明書の SHA-2 仕様ルート証明書は、IE6～,
Firefox1.0.0～等 PC 向け各種ブラウザやスマホ・タブレット用 iOS, Android
等、ほぼ 100%の機種（メーカーサポートが終了した Version は除く）に搭載さ
れております。

CA Browser Forum に 加 盟 - https://cabforum.org/members/ す る
Microsoft, Mozilla, Apple, Google, Opera（近日中に Amazon も加盟予定）
が各自のルート証明書自動更新機能により、同団体が定める規格に即し、適
時漏れなく最新仕様のルート証明書を搭載して来ております。

他方、こうした一元管理体制により、ハッキングされる等脆弱性の認められ
る認証局のルート証明書を、世界中各所で利用されているあらゆるクライア
ント端末から即時無効化する仕組みを担保しております。
（SSL サーバ認証基
盤に“腐ったリンゴ”を混在させないための重要なインフラ）
【MS Windows 証明書ストア】
SHA-1 ルート証明書
SHA-2 ルート証明書
２．
一方で、国内携帯電話端末フィーチャフォン（ガラケー）等、同団体に加盟してい
ないベンダが提供するクライント端末には、SHA-2 ルート証明書に限らず、最新仕
様のプログラムの搭載が遅れる傾向あり、この格差を埋めるため、スターフィール
ド SSL では、RFC3280 Section6.1「基本パス検証」ルール（欄外ご参照）に
従い、中間証明書に SHA-2 ルート証明書（上記青枠）と、現行 SHA-1 ルート証
明書（同赤枠）の双方により署名を行った「クロスルート証明書」を第 2 の中間証
明書としてご提供するとで、SHA-2 仕様サーバ証明書（お客様サーバに設定され
る証明書）の設定されたお客様サーバに対しアクセスして来るクライアント端末に
SHA-1/2 いずれかの仕様のルート証明書がプリセットされていれば、エラーなく
「証明のパス（Trust Chain）
」が確立される仕組みを講じております。
各種端末（PC/スマホ・タブレット）が、スターフィールド SSL SHA-2 証明書
に対応しているかどうかの検証には、次の URL にアクセス頂ください。エラーメ
ッセージ出現しなければ問題なくご利用頂けます。
https://www.jcert.co.jp/
PC・スマホ等
【注】RFC3280 に準拠しないデバイス・ブラウザには適用されません。
クライアント側領域
ルート証明書
SHA-2
SHA-1
Root CA
Root CA
プリセット
Issuer：SHA-1 ルート CA
Issuer：SHA-2 ルート CA
DN：SHA-1 ルート CA
DN：SHA-2 ルート CA
（自己署名）
（自己署名）
サーバ側領域
SHA-2
クロスルート CA
SHA-2
サーバ証明書+
中間証明書
設定
SHA-2 クロスルート証明書
Issuer：SHA-1 ルート CA
中間 CA
DN：SHA-2 ルート CA
SHA-2 中間証明書
Issuer：SHA-2 ルート CA
DN：SHA-2 中間 CA
SHA-2 サーバ証明書
Issuer：SHA-2 中間 CA
DN：FQDN
以上
【ご参考】 RFC3280 Section6.1（出典 日本認証サービス（株）翻訳版 APR-2002）
：https://www2.jcsinc.co.jp/repository/rfc3280-j.pdf
：サーバ側から提示された認証パス（中間証明書）を手繰り、クライアント
側の「信頼されたルート認証機関（ルート証明書）
」リスト内登録されたル
ート証明書の有無が判明するまで以下検証処理を繰り返す。