みなさま、こんにちは。Windows Azure サポートの大川です。本日は、既にお客様宛にメールにて通知が届いている、「Windows Azure のルート証明書移行」についてお知らせいたします。この更新により影響を受ける恐れのあるお客様は実はごく少数なのですが、メールの内容をお読みになり、自分は対象なのではないかとご不安になられている方も多いかと思います。そこで今回は、この証明書のお知らせについての補足情報をご提供差し上げようと思います。

こちらの内容は、Windows Azure Team Blog の内容をもとにしています。

作業内容

Windows Azure では現在、GTE CyberTrust Global Root をルートに持つ証明書を、Windows Azure Storage やサービス バス、 Windows Azure 管理ポータル、管理 API の SSL/TLS 証明書等に利用しています。この度、この証明書をよりセキュアな Baltimore CyberTrust Root をルートに持つ証明書に置き換える為、2013 年 4 月 15 日より、順次証明書の更新作業を進めてまいります。

具体的な変更内容

2013 年 4 月 15 日より順次、Windows Azure プラットフォームにより利用される SSL/TLS 証明書が、順次 Baltimore CyberTrust Root を持つものに変わります。この証明書は、現在のものよりも強力なキー長とハッシュのアルゴリズムを利用しています。

影響

Baltimore CyberTrust Root は、Windows や、Windows Phone や、Android、iOS 等の多くのオペレーティングシステムならびに、Internet Explorer、Safari、Chrome、Firefox、Opera などのブラウザーにて信頼されています。これらの環境から通常の方法にて Windows Azure のサービスに接続している限り、OS やブラウザーのルート証明書の自動更新の仕組みにて Baltimore CyberTrust Root が自動的に信頼されているため、特にお客様に影響はありません。

お客様に影響のあるシナリオの例として、お客様のアプリケーションで独自に証明書チェーンの検証ロジックを実装しており、この際に利用するルート証明書リストの中に Baltimore CyberTrust Root を含めていない場合があります。この場合には、お客様のアプリケーションを Baltimore CyberTrust Root ならびに GTE CyberTrust Global Root の双方を信頼するように 2013 年 4 月 15 日以前にアップデートする必要があります。この対策を行わない場合、証明書の更新後にお客様のアプリケーションで証明書の検証エラーが発生する場合があります。

新しい証明機関のルート証明書については、下記のリンクに詳細があり、ダウンロードも可能でございますので、必要に応じて確認ください。

--
Windows Azure テクニカル サポート
大川