Category: 仕事

SSL証明書の有効期間が最大47日に短縮へ──業界の構造変化と今後の対応について

Posted on | by 小坂辰夫

2025年春、私たちSSL証明書業界にとって非常に重要な決定が下されました。
CA/ブラウザフォーラムは投票の結果、2029年3月15日までに、SSL/TLS証明書の有効期間を最大47日間に制限するという新ルールを正式に可決しました。

現在の証明書の最大有効期間は398日ですが、段階的に以下のようなスケジュールで短縮されます:

・2026年3月15日:200日までに短縮

・2027年3月15日:100日へ

・2029年3月15日:最終的に47日へ(DCVはわずか10日)

この大きな制度変更は、Apple社の提案を起点に、Google、Microsoft、Mozillaといった大手ブラウザベンダーが賛成に回ることで実現しました。
また、証明書発行機関(CA)側でも、25の認証局が賛成票を投じ、反対票はゼロ。Entrust、IdenTrust、日本レジストリサービス(JPRS)、セコムトラストシステムズ、TWCAの5社のみが棄権しました。
voted to amend the TLS Baseline Requirements

■ なぜここまで有効期間が短くなるのか?

最大の目的は「セキュリティリスクの最小化」です。
有効期間が長い証明書が万が一侵害された場合、それが悪用される期間も長くなってしまいます。これを数日〜数週間に短縮することで、リスクの早期解消が可能になります。

この新ルールは、証明書のライフサイクルをより柔軟かつ効率的に管理できる体制の構築、すなわち自動更新への対応が急務であることを意味しています。

■ 今から何を準備すべきか?

47日という短い有効期間に対応するためには、人手による運用では限界があります。これからの証明書管理では、自動化された更新プロセスが前提となります。

特に、以下のポイントは早期に準備されることを強く推奨します:

・ACME(自動証明書管理環境)の導入
 → FujiSSLは、DVおよびOV証明書でACMEプロトコルに対応済です。

・API連携によるEV証明書の自動更新体制
 → FujiSSLはAPIを提供しており、DV、OV、及びEVの自動更新に対応済です。

・更新失敗時のアラート、再取得のリスク対策の構築
 → FujiSSLでは専用の管理画面が用意されており、更新失敗時のアラートを確認することができます、

・複数ドメインや大規模運用環境への対応設計
 → FujiSSLはAPIを提供しており大規模システムとの連携も可能です。

■ FujiSSLは、証明書の自動化移行を全面サポートします

FujiSSLでは、国際標準である ACME(RFC 8555)プロトコルに準拠した自動更新環境をすでに提供しております。
また、ACME非対応のEV証明書についても、弊社提供のAPIにより自動更新が可能です。

「何から始めればいいか分からない」「更新頻度が増えることで運用に支障が出そう」
──そんな懸念があるお客様も、まずはお気軽にご相談ください。導入から運用まで、専任スタッフが丁寧にサポートいたします。

■ FujiSSL vs 他社 自動更新対応比較

SSL証明書の自動更新や価格、API提供状況など、各社サービスを比較した一覧表です。コストを抑えつつ運用効率を高めたい方は必見です。

項目 FujiSSL A社 B社
DV証明書 ✔ ACME・APIで自動更新可能 ✘ 販売なし ✘ 販売なし
OV証明書 ✔ ACME・APIで自動更新可能 ✘ 手動のみ ✘ 手動のみ
EV証明書 ✔ APIで自動更新可能 ✘ 手動のみ ✘ 手動のみ
API提供 ✔ あり ✘ なし ✘ なし
WebTrust監査 ✔ 合格 ✔ 合格 ✔ 合格
証明書価格(DV/OV/EV) 1,100円〜 60,500円〜 56,000円〜
保証額 DV: $50,000
OV: $50,000
EV: $1,750,000		 なし なし

自動化対応、API連携、コストパフォーマンスのいずれをとっても、FujiSSLは非常に優れた選択肢です。

■ FujiSSLの強みまとめ

・DV・OV・EVすべて自動更新に対応(EVはAPI経由)

・1,100円からの業界最安水準価格

・最大175万ドルの保証つき高信頼性証明書

・API提供で外部ツールやサーバーと柔軟に連携

・1枚からでも導入可能なスモールスタート対応

■ 未来に向けて

Sectigo社の副議長 ティム・キャラン氏は次のように述べています:

「この決定は、デジタルセキュリティと信頼性を次のレベルへと押し上げる、業界全体の前向きな取り組みの象徴です。」

■ 当社の対応

私たちSectigoとパートナーシップを結んでいるFujiSSLは、お客様がより安全に、より効率的にWeb環境を運用できるよう、サービスと技術の進化を続けてまいります。
証明書管理の自動化は、これからのスタンダードです。ぜひ一度、私たちのソリューションをご体験ください。

SectigoのSSL証明書自動管理サービスに関するプレスリリースに、私のエンドースコメントが掲載されました

Posted on | by 小坂辰夫

世界的なデジタル証明書プロバイダーである Sectigo が発表した新サービス「Certificates as a Service(CaaS)」に関するプレスリリースに、私のエンドースコメントが掲載されました。

Sectigoの「CaaS」とは?

Sectigoが新たに発表した「Certificates as a Service(CaaS)」は、SSL/TLS証明書の自動管理・更新を可能にするサービスです。証明書の有効期限切れによるシステム停止を防ぎ、企業がより安心してデジタル環境を運用できるようサポートします。特に、証明書管理の手間を削減し、人的ミスによるリスクを最小限に抑えることができる点が注目されています。

小坂辰夫のコメント(Sectigoプレスリリースより)

“Many partners are already reaping the benefits of CaaS: “We want to support our customers in reducing the risk of service outages caused by expired certificates and simplifying the certificate management process,” said Tatsuo Osaka, chief executive officer at Nijimo Inc., a reseller of SSL certificates. “Sectigo CaaS eliminates human error in certificate renewals, minimizes downtime due to expired certificates, and provides a seamless, automated solution that enables our customers to focus on their core business operations.”

ニジモの取り組み

FujiSSLではSectigo Caasを利用したSSL証明書の自動更新サービスを提供しております。
SSL証明書の自動更新

株式会社ニジモは、SSL証明書の発行を通じて、企業の安全なインターネット環境の構築を支援しています。今後もSectigoとのパートナーシップを活かし、より便利で信頼性の高い証明書管理ソリューションの提供を目指してまいります。

現在SectigoルートのACME証明書を販売しているのは世界で当社だけです。

詳細については、Sectigoの公式発表をご覧ください。

Sectigo launches Certificates as a Service (CaaS) for partners, revolutionizes how partners manage and monetize digital certificates

FujiSSL APIを公開しました。

Posted on | by 小坂辰夫 | Leave a Comment on FujiSSL APIを公開しました。

FujiSSLでは証明書の注文から発行までを行えるHTTPS POSTベースのAPIを公開いたしました。このAPIはHTTPS POSTリクエストを実行できる任意の言語またはスクリプトから利用できます。

APIを利用することにより証明書のライフサイクルを完全に自動化、または申請の一部を自動化することができます。

API機能一覧

注文処理

CSR、ドメイン管理者情報等をAPIサーバへ送信して、SSLサーバ証明書の注文が行えます。

承認用メールアドレス一覧

認証方式がメールの場合にドメイン使用権確認用のメールアドレスの一覧を取得します。

認証ファイルデータ取得

認証方式がファイル認証の場合に必要なデータを取得します。

DNS認証用文字列取得

認証方式がDNS認証の場合に必要なデータを取得します。

ステータス確認・証明書の取得

証明書の申込み状態の確認や証明書を取得します。

キャンセル処理

注文したSSLサーバ証明書をキャンセルします。
証明書が既に発行済みの場合はキャンセル可能な有効期間内のみ失効処理も同時に行います。

失効処理

発行した証明書を失効します。

エラーコード

APIレスポンスに含まれるエラーコード情報を返します。

〇お客様の環境に必要な要件

アクセス元のIPアドレスでのアクセス制御を行っているため固定IPが必要です。

SSLサーバ証明書自動更新システムFujiSSL GOリリース

Posted on | by 小坂辰夫 | Leave a Comment on SSLサーバ証明書自動更新システムFujiSSL GOリリース

2020/9/1よりSSLサーバ証明書の有効期限が2年から1年に短縮されます。

有効期限は5年、3年、2年、1年と短縮されており、今後さらに短縮されると思われます。

今まで2年に一度で済んでいた更新作業が毎年ということになると証明書の更新忘れや設定ミスが増える可能性がありますのでサーバ管理者は注意が必要です。

そこでFujiSSLでは『お客様のWEBサーバ』と『認証局のシステム』をAPI連携し面倒なSSLサーバ証明書の申請からインストールまでを完全に自動化するためのシステム「FujiSSL GO」を提供開始いたしました。DVのみならずOV、EVも自動更新に対応しております。初期費用は0円、年間1,500円からご利用いただけます。

本システムを導入いただきますと証明書の更新にかかっていた時間をより貴重なタスクに解放することができます。

FujiSSLサーバ証明書は発行から1週間以内であればキャンセル可能です。お気軽にお試しください。

商品サイトはこちら => FujiSSL GO

FujiSSLクライアント証明書を使ってWordPressの管理画面のアクセス制御を行う

Posted on | by 小坂辰夫 | Leave a Comment on FujiSSLクライアント証明書を使ってWordPressの管理画面のアクセス制御を行う

WordPressの管理者IDは「URL/?author=1」でアクセスを行うとリダイレクトが行われ「URL/author/管理者ID/」が表示されるため誰でも簡単に管理者IDを知ることができます。

この管理者IDでパスワードの総当たり攻撃を仕掛けれられればクラッカーのログインを許してしまいます。

これを防衛するためにログインURLを変更したりユーザIDを秘匿するなどで対処することもできますがこれは時間稼ぎでしかありません。
また、侵入者はクラッカーだけでなく、ユーザID、パスワードを類推できる元従業員や外部委託の人間からの侵入の恐れも考えられます。
企業の運営するWEBサイトが改竄されるようでは信頼問題につながります。

そこでFujiSSLクライアント証明書(年間2,000円)を使いアクセス制御を行えば、クライアント証明書がインストールされたデバイス以外からのアクセスを遮断することができるためユーザID,パスワードを類推した侵入を防衛することができます。

FuijSSLクライアント証明書の発行申請

FujiSSLクライアント証明書は専用の管理画面が用意されており証明書の配布、失効、更新が簡単に行えます。まずFujiSSL Client Authentication Centerに会員登録を行いログインします。


入力項目を埋め「上記の内容にて確認へ進む」を押下します。ここで入力したメールアドレスに対してクライアント証明書を発行します。

ブラウザへのインストール


発行申請で入力したメールアドレス宛てに案内が届きます。


しばらくすると2通目のメールが届きます。Windowsの場合はインターネットエクスプローラー、Macの場合はFirefoxで認証用ページへアクセスしてください。


認証用ページにアクセスします。先ほど届いたメールに記載されているクライアント証明書を発行するメールアドレス、コレクションコードをコピーペーストしチェックボックスをチェックします。


Request My Certificate Nowボタンをクリックします。


はいを押下します。


これでご利用中のOSにクライアント証明書がインストールされます。この時点からChrome、Firefox、Edge、Safariなどのブラウザからもクライアント証明書を利用することができるようになります。

事前準備

クライアント証明書を利用するためにはSSLサーバ証明書が必要です。アクセス制限を行うWEBサイトの常時SSL化を済ましてください。

WEBサーバの設定

準備中

WordPressの設定


wordpressの常時SSL化を行います。URLをhttpsとしてください。

Apacheの設定

準備中

nginxの設定
server {

・・・省略

     ssl_verify_client optional;
     ssl_verify_depth 3;
     ssl_client_certificate /etc/nginx/conf.client/fujissl.crt;

     location ~* /wp-login\.php|/wp-admin/((?!admin-ajax\.php).)*$ {

         if ($ssl_client_serial !~* ^(a611029c61393dfe764e27081f3c3a7e|F0C0625B207F39F6899FE3B3890B96C3)$) {
             return 403;
         }
    }

・・・省略

}

WordPressの管理画面に証明書のプロパティに載っているシリアル番号以外からのアクセスの場合403エラー(閲覧禁止)を返します。

CRL自動取得の設定

証明書の失効リストの自動取得を行います。

動作検証


クライアント証明書のインストールされていないデバイスからアクセスして403エラーが出たら成功です。

クライアント証明書の失効

利用中の証明書の秘密鍵が漏洩した場合、デバイスを紛失した場合、クライアント証明書の失効処理を行います。これにより失効した証明書での認証を不能にすることができます。


ホーム画面より失効処理をしたい証明書の詳細ボタンを押下します。


証明書を失効するボタン押下で証明書は失効されます。

FujiSSLクライアント証明書はWordpressのみならず、会員制サイト、ログインが必要なサイト、社内システム等でもご利用いただけます。

FujiSSLコードサイニング証明書をリリースしました

Posted on | by 小坂辰夫 | Leave a Comment on FujiSSLコードサイニング証明書をリリースしました

コードサイニング証明書とはソフトウェアに電子署名を行うものです。コードサイニング証明書にはソフトウェアの発行元に関する情報が含まれ、ダウンロードするソフトウェアが証明書に記載されている発行元からのものであることを証明します。

主要なOSはインストールしようとしているソフトウェアが信頼できるCAによって署名されていない場合、エラーメッセージをエンドユーザに表示します。

このエラーメッセージはFujiSSLコードサイニング証明書を導入すれば消すことができます。

FujiSSLコードサイニング証明書の特徴
  1. CA/Browser Forumの認証基準で発行
  2. Microsoftの仕様に適合
  3. Windows 8.0以降、Internet Explorer 9以降、Microsoft Edge、およびMicrosoftのSmartScreenRApplication Reputation対応
  4. アプリケーション実行前に署名者の身元を表示。ブランディング、ユーザへの信頼向上
  5. ハードウェアトークンとPINにより秘密鍵の盗難を防止
  6. 32-bit/64-bit対応。 Microsoft Authenticode (kernel and user mode files, like .exe, .cab, .dll, .ocx, .msi, .xpi, and .xap), Adobe Air, Apple applications and plug-ins, Java, MS Office Macro and VBA, Mozilla object files, and Microsoft Silverlight applications
FujiSSLでは以下の2つのタイプのコードサイニング証明書を用意しております。
OVコードサイニング証明書 EVコードサイニング証明書
価格 10,000円(1年) 31,800(1年)
MS署名ツール 対応 対応
VBA 対応 対応
ADOBE AIR 対応 対応
スマートスクリーン 所定のダウンロード数を満たした後に解除 即時解除
発行先 登記された法人のみ 登記された法人のみ
署名回数 無制限 無制限

*税抜です。

*FujiSSLコードサイニング証明書は法人登記された法人のみに発行します。個人、または個人事業主への発行は行っておりません。

*証明書のプロパティにはOVは企業名、部署名、所在地、EVは企業名、部署名、所在地、組織形態が表示されます。

ご注文から発行まで

コードサイニング証明書用の専用の管理画面を用意しております。まず会員登録を行ってください。

代金は銀行振込、またはクレジットカード前払いとなっております。

OV,EVともに厳正な審査を行います。OVは2営業日~、EVは7営業日~での発行となります。

インストールマニュアルなどのドキュメント類はこれから充実させてまいります。

まずはお気軽にお問合せください。

FujiSSLのDCVにDNS認証を追加しました

Posted on | by 小坂辰夫 | Leave a Comment on FujiSSLのDCVにDNS認証を追加しました

今までFujiSSLはDCVで申請FQDN配下に認証用ファイル設置をしていただき外部からのクローリングによるファイルの存在検知により認証を行う「ファイル認証」と、管理者用メールの受信確認により認証を行う「メール認証」の2種類を行っておりましたが、今回DNSのTXTレコードに認証用文字列を追加することにより認証を行う「DNS認証」を追加しました。

SECOMルートを持つ証明書で初のDNS認証になります。

DNS認証はWEBサーバを公開できない、メールサーバを公開できない方にもFujiSSLの発行を可能にします。

ワイルドカード証明書もDNS認証に対応しております。

FujiSSL公式サイトでのご購入の場合、証明書が発行されない場合はカード引き落としは行われません。また証明書発行後7日以内にユーザーポータルサイトでキャンセル手続きをしていただければカード引き落としは行われません。

お気軽にお試しください。

FujiSSL企業認証SSL売れてます

Posted on | by 小坂辰夫 | Leave a Comment on FujiSSL企業認証SSL売れてます

企業の運営するWebサイトはその運営企業の実在性を証明するために企業認証SSLを導入するのが良いとされています。

Google、Facebook、Amazonなど主要IT企業もドメインの所有者確認のみで発行されるDV証明書ではなく企業認証SSLを利用しております。

しかしながらコスト面から導入を見送る企業様が多いように思われます。

当社ではより多くの企業様に企業認証SSLを気軽に利用していただくために年額5,000円(定価10,000円)の低価格にて2019年6月より提供開始致しました。日本で一番安い企業認証SSLです。リリース以来多くの企業様にご利用いただいております。

他社からの乗換、DV証明書からの乗換の場合は残存する有効期限を引き継げます。

FujiSSL公式サイトでのご購入の場合、証明書が発行されない場合はカード引き落としは行われません。また証明書発行後7日以内にユーザーポータルサイトでキャンセル手続きをしていただければカード引き落としは行われません。

是非お気軽にお試しください。

PCI DSS準拠のセキュリティ診断サービスを自動付帯したFujiSSLを販売開始

Posted on | by 小坂辰夫 | Leave a Comment on PCI DSS準拠のセキュリティ診断サービスを自動付帯したFujiSSLを販売開始

ニジモの小坂です。

PCI DSS準拠のセキュリティ診断サービスを自動付帯したFujiSSLプレミアムbeyondを販売開始いたしました。
PCI DSS認定と同じ診断エンジンを採用しております。

セキュリティ診断の必要性

FujiSSLプレミアムbeyondはハッキング攻撃や情報漏洩の足掛かりとなるようなシステムの脆弱性の有無を診断します。診断により現在のセキュリティレベルを知ることで初めて適切な投資が可能になります。セキュリティ診断は、安全性を高めるにはまず何をするべきか、何をする必要がないか、知るためのソリューションです。

アウトソースすることのメリット

セキュリティ診断は社内リソースで対応することも可能です。しかし、最新の脆弱性情報を収集・蓄積し、テスト方法を確立し、テストを手動で行い、報告書にまとめるコストは膨大なものです。専門のシステムが行うことで、コスト削減と、第三者による客観的な診断が可能になります。

PCI DSS(*1)準拠のセキュリティ診断サービス

診断はカード業界で採用されている厳格なセキュリティ基準PCI DSSに準拠するものです。ネットワーク診断は毎年更新が必要なASV資格(認定スキャンベンダー)と同じ品質を担保しています。

(*1)PCI DSSとは

クレジットカード情報及び取引情報を保護するためのセキュリティ基準が12の要件で定められています。

ISMS(ISO/IEC27001)と比べて、保護対象が限定的かつ明確にされており、インシデント発生時の被害レベルもまた明確、対策も具体的です。

近年では、カード情報の保護のためのベストプラクティスとして普及しています。

FujiSSLプレミアムbeyond脆弱性診断概要

FujiSSLプレミアムbeyond脆弱性診断は、グローバルIPを持つサーバやネットワーク機器の脆弱性を診断するサービスです。クラウド環境からWEBサイトやルータなどのネットワーク機器をスキャンし、セキュリティホールを突き止め、対策のための情報を提供します。
検査項目は56,000以上あり、幅広いOS、ファームウェア、アプリケーションをカバーしております。ソリューションベースレポート、差分レポートなどレポート機能も充実しております。ハードウェアやソフトウェア導入の必要がない、完全自動のクラウド型診断をいたします。

FujiSSLプレミアムをリリースしました

Posted on | by 小坂辰夫 | Leave a Comment on FujiSSLプレミアムをリリースしました

FujiSSLにSSLプロトコル脆弱性診断、データ復元保険を全件付帯したFujiSSLプレミアムという商品をリリースしました。データ復元保険の引受先は東京海上日動火災保険株式会社様です。商品企画から7ヶ月。関係各位様には何度もご足労戴き大変感謝しております。ありがとうございました。

FujiSSLとの違い

FujiSSL FujiSSLプレミアム
暗号化強度 256bit 256bit
SSLプロトコル脆弱性診断 なし あり
データ復元保険 なし 10万円まで補償
ワイルドカードは100万円まで補償
料金 シングル:1,000円(1年)
ワイルドカード:18,519円(1年)		 シングル:5,000円(1年)
ワイルドカード:50,000円(1年)

SSLプロトコル脆弱性診断とは

SSLサーバ証明書をインストールしただけではサーバは安全ではありません。
FujiSSLプレミアムはSSLプロトコル周りで特に対策が必要な項目の脆弱性を診断いたします。

◎脆弱性診断の要件

・ssl://コモンネーム名:443でのアクセス環境
・FujiSSLサーバ証明書の設置

◎診断により確認・予防する事ができる代表的な脆弱性

FujiSSL脆弱性診断により確認・予防が期待できる、代表的な脆弱性の一部をご紹介します。

Heartbleed

Heartbleedは、OpenSSLを利用しているサーバに細工したデータを送信するだけで、サーバのメモリー上にあるデータ(Webサイトの秘密鍵、ユーザーIDやパスワードや暗号化しているはずのコンテンツ)を、第三者が閲覧できる可能性のあるバグです。

POODLE

サーバとの通信においてパスワード等の個人情報やCookie情報が第三者に漏洩する危険性があります。

中間者攻撃

暗号化に必要な鍵を事前に知らない第三者が、大量通信や中間者攻撃によって、暗号化されたデータを解読してしまう危険性があります。

※情報セキュリティの環境は常に変化しており、新たに脆弱性が発見されることがあります。そのため、診断項目は随時追加されます。またWEB管理者は定期的にサイトの安全性をチェックし脆弱性対策をする必要があります。

データ復元保険とは

保険の引受先は東京海上日動火災保険株式会社様で、FujiSSLプレミアムを発行いただきますとデータ復元保険が自動的に付保されます。保険の付保のタイミングは他社製品からの乗換の場合他社証明書の重複期間終了日の翌日からとなりますのでご注意ください。

保険の概要は以下の通りです。

契約者 株式会社ニジモ
被保険者 エンドユーザ様
保険責任期間開始日 SSLサーバ証明書発行日(他社からの乗換に関しては他社証明書の重複期間終了日の翌日)
保険責任期間 1年、2年を証明書に合わせ選択可能
補償内容 インターネットに接続するサーバ(日本国内に限る)に記録されたアプリケーションや、個人情報または電子データが、サイバー攻撃等の不正アクセスにより損害を受けた場合、情報の修復、再制作、再取得に要した費用をお支払い。
FujiSSLプレミアム 最大10万円
FujiSSLプレミアムワイルドカード 最大100万円

ご購入はこちらからFujiSSL