2015年3月2日

お客様各位

弊社ASJペイメントサービスにおける SSL証明書の SHA-2 対応について

 平素よりASJペイメントサービスをご利用いただきまして、ありがとうございます。

 この度、弊社が提供しているASJペイメントサービスのサーバで利用している全てのSSL 証明書において、証明書のハッシュアルゴリズムを SHA-1 から、段階的に、SHA-2 へ仕様変更することとなりましたので、ご報告致します。
また、これに伴ない、SSL/TLS通信が出来る要件にも仕様の変更がありますため、ご確認を頂けますようお願い致します。

 この段階的な仕様変更につきましては、暗号技術の標準化を行なっておりますNIST(アメリカ国立標準技術研究所)の勧告に基づき、証明書発行会社および、ブラウザ側にて、世界的に進められておりますものでありますため、何卒ご理解を賜りますようお願い致します。

- 記 -

適用日時:2015年3月2日(月)より順次

適用範囲
 ・ASJペイメントサービスで提供しているクレジットカード決済を含む決済関連サーバ
  (www.asjpayment.jp(asjpayment.jp) および pmt.asj.ne.jp)へのHTTPS(SSL)
  接続利用時のSSL
 ・ASJペイメント管理画面を含むサービスサイトでのHTTPS(SSL)接続利用時のSSL

実施項目

ASJペイメントサービスのサーバに導入されているSSL証明書のうち、2015年内に更新時期となるSSL証明書をハッシュアルゴリズム SHA-2 に対応した証明書とし、ASJペイメントサービスで導入されているSSL証明書からSHA-1 証明書を段階的に廃止するものとします。
なお、証明書の発行元は日本ジオトラスト社の発行する SHA-2 対応証明書とします。

  1. 日本ジオトラスト株式会社:
     https://www.geotrust.co.jp/
  2. 日本ジオトラスト株式会社SHA-2証明書詳細ページ:
     https://www.geotrust.co.jp/products/sha2-migration.html

実施理由

NISTによる SSL 証明書における SHA-1 アルゴリズム廃止の勧告に基づき、各Webブラウザーベンダが SHA-1 アルゴリズムの段階的な廃止を進めるのスケジュールを公表しています。
とくに Google 社は、 Google Chrome において、今年末~来年始めのリリースから、2016年内を有効期限としている、SHA-1 証明書を利用している SSL/TLS接続の場合に、警告を表示するという方策を打ち出しています。
弊社と致しましても、そういった情勢を鑑み、段階的なSHA-2 証明書への乗り換えが必要と判断致しました。

Google Chrome での警告表示などの詳細につきましては、以下の記事などをご参考ください。
  1. ベリサイン(現シマンテック)による解説:
     http://www.symantec.com/ja/jp/page.jsp?id=ssl-sha2-transition
  2. 日本ジオトラストによる解説:
     https://www.geotrust.co.jp/news/2014/20140918.html

影響範囲

o Webブラウジングについて:
PC のブラウザ、スマートフォンのブラウザなどは、古くから、SHA-2 証明書の対応しておりますため、影響が出る可能性はほぼありません。
携帯電話(フィーチャーフォン)につきましては、接続対応機種に変更があります。
日本ジオトラスト株式会社より、フィーチャーフォンでの対応の検証リストが公開されておりますので、こちらをご確認頂けますようお願いいたします。(*)
https://www.geotrust.co.jp/products/doc/1412560977.pdf
※ 日本ジオトラスト株式会社の検証リストにつきましては、日本ジオトラスト株式会社の独自の検証によるものであり、弊社がその検証状況を保証するものではございませんので、あらかじめご了承いただけますようお願いいたします。

現行状況
www.asjpayment.jp : 2015年3月2日 SHA-2対応証明書に更新済
pmt.asj.ne.jp : 2015年6月中旬ごろ SHA-2対応証明書に更新予定(*)
※ 予定につきましては、世界的な情勢の変化などにより前後する場合がございます。

お客様およびご利用ユーザ様には、大変お手数をお掛け致しますが、セキュリティ保護の観点から必須の対策となりますので、何卒ご理解を賜りますようお願い申し上げます。

SSLを利用したセキュア通信につきましては、今後も、TLSの上位のバージョンのサポートや、SHA2証明書への切り替えなど、様々な観点から注力し、情報セキュリティ対策をより一層進めていく所存でございます。

以上