楕円曲線暗号アルゴリズム（ECC）を使用して発行されるSSLサーバ証明書の仕様変更のお知らせ

平素より、グローバルサインのサービスをご愛顧くださり誠にありがとうございます。
楕円曲線暗号アルゴリズム（ECC）を使用して発行されるSSLサーバ証明書におきまして、仕様変更が決定いたしました。詳細は下記をご参照ください。

変更実施日

2021年7月26日（月）

対象サービス

変更実施日以降、楕円曲線暗号アルゴリズム（ECC）を使用して発行される下記の証明書
※RSA鍵を使用して発行される証明書は対象外です。
・企業認証SSL byGMO
・企業認証SSL byGMO （SSLマネージドサービス） 
・国会議員向けウェブサイト用証明書
・地方公共団体首長・議員向けウェブサイト用証明書
・政党公式サイト向けウェブサイト用証明書
・EV SSL by GMO（SSLマネージドサービス） 

変更内容

現在、Key UsageにはDigital SignatureとKey Agreementが含まれていますが、上記変更実施日以降に楕円曲線暗号アルゴリズム（ECC）を使用して発行される証明書はKey Agreementを含めず、Digital Signatureのみとなります。今回の変更で、ご利用中のSSLサーバ証明書の挙動に影響はございません。
※Key Usageとは、X.509形式の電子証明書に含まれるフィールドで、公開鍵の使用目的を複数定義しています。その公開鍵の使用目的のうちの一つがKey Agreement（鍵交換）となります。

変更の背景

現在、CA/ブラウザフォーラムでSSLサーバ証明書のBaseline Requirementにおいて、楕円曲線暗号アルゴリズム（ECC）を使用して発行される証明書のKey Usageに関する要件が進行しております。その内容は「署名鍵と暗号化鍵は SSLセッション内で別々の鍵である必要があるため、楕円曲線暗号アルゴリズム（ECC）を使用して発行される証明書のKey UsageにKey Agreementを含めない」といった内容となります。また、電子証明書業界の動向としてもKey Usageに関して、電子証明書に記載されている公開鍵は認証のみに利用し、暗号化用途に利用しない、これにより秘密鍵が漏洩したとしても、暗号通信の安全性を確保できるForward Secrecy（前方秘匿性）という技術が普及しています。弊社ではこうしたCA/ブラウザフォーラムと業界全体の動向を鑑みて、楕円曲線暗号アルゴリズム（ECC）を使用して発行される証明書のKey Usageの変更を決定いたしました。
※Forward Secrecyを実装したwebサーバでは、webサーバの秘密鍵が漏洩したとしても、暗号通信のセキュリティは確保されます。また、今後TLS1.3からはForward Secrecyの運用が必須となります。
※Forward Secrecyに対応していない運用をしている場合、サーバ設定の変更が必要となります。設定に関してはサーバ管理者にご確認ください。

公開鍵のアルゴリズムの確認方法

対象のwebサイトのアドレスバーから証明書を開きます。
「詳細」タブをクリックし、「公開キー」の値の箇所をご確認ください。ご使用の鍵のアルゴリズムがECCまたはRSAのどちらなのかご確認いただけます。