目的
「2023 年 4 月 18 日に失効」なので、確認する方法を書きます。
2022 年 7 月 1 日付けで Mozilla Root Store Policy の改定があり、認証事業者において 2023 年 7 月以降、署名アルゴリズム SHA-1 による署名が禁止されます。
これを受けまして、ルート認証局であるセコムトラストシステムズ株式会社にて、改定後の同規定に該当する本クロスルート証明書(有効期間満了日:2023 年 9 月 29 日)を、満了日に先立ちまして、2023 年 4 月 18 日に失効させる決定がなされました。
対応しなかった場合には、サーバー証明書が失効している旨の警告が表示される可能性があるので、できれば対応しましょう。
2023 年 4 月 18 日以降も 4 階層設定であった場合には、上記以外の環境においてブラウザから Web サイトへアクセスした際に、サーバー証明書が失効している旨の警告が表示される可能性がございます。
確認方法
SSLサーバ証明書 導入サポートツール を使って確認できます。
問題ない場合
Cloudflare を適用したドメインにおいて、以下の状態であれば問題ありません。
対応が必要な場合
Cloudflare を適用したドメインにおいて、以下の状態の場合、対応が必要です。
Cloudflare で必要なエッジ証明書設定
持ち込みの「カスタム証明書」を想定したときに、「証明書の再アップロード」が必要です。
具体的には、以下の「レンチ」アイコンから「Replace SSL certificate and key」に進みます。
「Upload a custom certificate」の手順に従って、 SSL Certificate 欄にサーバー証明書と、 Private Key 欄に秘密鍵を再アップロードします。
「Bundle method」の設定については、以下のようにします。
- まず
CompatibleかModernで再アップロード - その後に正しい 3 階層が確認できない場合は
User Definedを指定-
SSL Certificate欄には、中間証明書・サーバー証明書の順で入力
-
再アップロード後は SSLサーバ証明書 導入サポートツール を使って確認できます
再アップロード時にエラーが出て処理できない場合
まずは「サポートに連絡」しましょう。
また、他の方法としては Enterprise Plan の Modern と Legacy の枠を活用して
Modern: (recommended): SNI only
Legacy: Supports non-SNI
- 既存のカスタム証明書とは異なる
Legacy Client Supportを指定して新規アップロード - 既存のカスタム証明書を削除
- 既存のカスタム証明書と同一の
Legacy Client Supportを指定して新規アップロード - 既存のカスタム証明書とは異なる
Legacy Client Supportの証明書を削除
最後に
カスタム証明書の「Bundle method」が Compatible か Modern の場合には、証明書チェーンとして「cloudflare/cfssl_trust at d612c9625ef305e3d776f4e24e791ff5f3d14527」で管理されているバンドルデータが使われています。
その最新データを反映するためには、今回の再アップロードや新規アップロードによって、反映できる形となります。