原文はこちら。
https://blogs.oracle.com/java-platform-group/jdk-distrusting-symantec-tls-certificates
Oracle JDKは、Google、Mozilla、Apple、Microsoftが最近発表したものと同様の計画に沿って、Symantecが発行したTLS証明書の信頼を停止します。影響を受ける証明書のリストには、Symantecが管理するGeoTrust、Thawte、およびVeriSignというブランド名の証明書が含まれます。
アプリケーションはトラストアンカーが信頼されていないというメッセージを含む例外を受け取ります。
JDKに含まれる以下のSymantecルート証明書に対して制約が課されます。
上表に記載のいずれかのCAが発行したTLSサーバー証明書をお持ちの場合、DigiCertから無料での証明書置き換えに関する情報を伴うメッセージを受けているはずです。
以下のように、JDKのkeytoolユーティリティを使い、証明書チェーンの詳細を表示することもできます。
https://blogs.oracle.com/java-platform-group/jdk-distrusting-symantec-tls-certificates
Oracle JDKは、Google、Mozilla、Apple、Microsoftが最近発表したものと同様の計画に沿って、Symantecが発行したTLS証明書の信頼を停止します。影響を受ける証明書のリストには、Symantecが管理するGeoTrust、Thawte、およびVeriSignというブランド名の証明書が含まれます。
Chrome’s Plan to Distrust Symantec Certificates2019年4月16日リリース予定のCritical Patch Release以後、全てのサポート対象のJDKバージョン(12、11、8、7)では、影響を受けるトラストアンカー(ルート)を通じて発行された新しいTLSサーバー証明書を信頼しなくなります。
https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html
CA:Symantec Issues
https://wiki.mozilla.org/CA:Symantec_Issues
Information for website operators about distrusting Symantec certificate authorities
https://support.apple.com/en-us/HT208860
Microsoft partners with DigiCert to begin deprecating Symantec TLS certificates
https://cloudblogs.microsoft.com/microsoftsecure/2018/10/04/microsoft-partners-with-digicert-to-begin-deprecating-symantec-tls-certificates/
Critical Patch Updates, Security Alerts and Bulletins2019年4月16日より前に発行されたTLSサーバー証明書は有効期限まで引き続き信頼しますが、この日以後に発行された証明書は拒否します。Symantecの証明書をDigiCertの証明書に置き換える情報は、以下のURLをご覧ください(DigiCertは2017年12月1日にSymantec Website Security SSL/TLS証明書の検証および発行を引き継ぎました)。
https://www.oracle.com/technetwork/topics/security/alerts-086861.html
Replace Your Symantec SSL/TLS Certificatesこの新たな制限は、Java Secure Socket Extension(JSSE)APIのJDK実装(SunJSSE Provider)で実施されます。サーバーの証明書チェーンが下表の認証局(Certificate Authorities、CA)のいずれかに固定されている場合、TLSセッションをネゴシエートしません。
https://www.digicert.com/replace-your-symantec-ssl-tls-certificates/
アプリケーションはトラストアンカーが信頼されていないというメッセージを含む例外を受け取ります。
影響を受けるリリースのリリースノートにて、Oracleは影響を受けるルートアンカーへの信頼を一時的に有効化するための手順を紹介する予定にしています。Untrusted trust anchor: CN=GeoTrust Global CA, O=GeoTrust Inc., C=US
JDKに含まれる以下のSymantecルート証明書に対して制約が課されます。
Distinguished Name | SHA-256 Fingerprint |
---|---|
CN=GeoTrust Global CA, O=GeoTrust Inc., C=US | FF:85:6A:2D:25:1D:CD:88:D3:66:56:F4:50:12:67:98:CF:AB:AA:DE:40:79:9C:72:2D:E4:D2:B5:DB:36:A7:3A |
CN=GeoTrust Primary Certification Authority, O=GeoTrust Inc., C=US | 37:D5:10:06:C5:12:EA:AB:62:64:21:F1:EC:8C:92:01:3F:C5:F8:2A:E9:8E:E5:33:EB:46:19:B8:DE:B4:D0:6C |
CN=GeoTrust Primary Certification Authority - G2, OU=(c) 2007 GeoTrust Inc. - For authorized use only, O=GeoTrust Inc., C=US | 5E:DB:7A:C4:3B:82:A0:6A:87:61:E8:D7:BE:49:79:EB:F2:61:1F:7D:D7:9B:F9:1C:1C:6B:56:6A:21:9E:D7:66 |
CN=GeoTrust Primary Certification Authority - G3, OU=(c) 2008 GeoTrust Inc. - For authorized use only, O=GeoTrust Inc., C=US | B4:78:B8:12:25:0D:F8:78:63:5C:2A:A7:EC:7D:15:5E:AA:62:5E:E8:29:16:E2:CD:29:43:61:88:6C:D1:FB:D4 |
CN=GeoTrust Universal CA, O=GeoTrust Inc., C=US | A0:45:9B:9F:63:B2:25:59:F5:FA:5D:4C:6D:B3:F9:F7:2F:F1:93:42:03:35:78:F0:73:BF:1D:1B:46:CB:B9:12 |
CN=thawte Primary Root CA, OU="(c) 2006 thawte, Inc. - For authorized use only", OU=Certification Services Division, O="thawte, Inc.", C=US | 8D:72:2F:81:A9:C1:13:C0:79:1D:F1:36:A2:96:6D:B2:6C:95:0A:97:1D:B4:6B:41:99:F4:EA:54:B7:8B:FB:9F |
CN=thawte Primary Root CA - G2, OU="(c) 2007 thawte, Inc. - For authorized use only", O="thawte, Inc.", C=US | A4:31:0D:50:AF:18:A6:44:71:90:37:2A:86:AF:AF:8B:95:1F:FB:43:1D:83:7F:1E:56:88:B4:59:71:ED:15:57 |
CN=thawte Primary Root CA - G3, OU="(c) 2008 thawte, Inc. - For authorized use only", OU=Certification Services Division, O="thawte, Inc.", C=US | 4B:03:F4:58:07:AD:70:F2:1B:FC:2C:AE:71:C9:FD:E4:60:4C:06:4C:F5:FF:B6:86:BA:E5:DB:AA:D7:FD:D3:4C |
EMAILADDRESS=premium-server@thawte.com, CN=Thawte Premium Server CA, OU=Certification Services Division, O=Thawte Consulting cc, L=Cape Town, ST=Western Cape, C=ZA | 3F:9F:27:D5:83:20:4B:9E:09:C8:A3:D2:06:6C:4B:57:D3:A2:47:9C:36:93:65:08:80:50:56:98:10:5D:BC:E9 |
OU=VeriSign Trust Network, OU="(c) 1998 VeriSign, Inc. - For authorized use only", OU=Class 2 Public Primary Certification Authority - G2, O="VeriSign, Inc.", C=US | 3A:43:E2:20:FE:7F:3E:A9:65:3D:1E:21:74:2E:AC:2B:75:C2:0F:D8:98:03:05:BC:50:2C:AF:8C:2D:9B:41:A1 |
OU=Class 3 Public Primary Certification Authority, O="VeriSign, Inc.", C=US | A4:B6:B3:99:6F:C2:F3:06:B3:FD:86:81:BD:63:41:3D:8C:50:09:CC:4F:A3:29:C2:CC:F0:E2:FA:1B:14:03:05 |
OU=VeriSign Trust Network, OU="(c) 1998 VeriSign, Inc. - For authorized use only", OU=Class 3 Public Primary Certification Authority - G2, O="VeriSign, Inc.", C=US | 83:CE:3C:12:29:68:8A:59:3D:48:5F:81:97:3C:0F:91:95:43:1E:DA:37:CC:5E:36:43:0E:79:C7:A8:88:63:8B |
CN=VeriSign Class 3 Public Primary Certification Authority - G3, OU="(c) 1999 VeriSign, Inc. - For authorized use only", OU=VeriSign Trust Network, O="VeriSign, Inc.", C=US | EB:04:CF:5E:B1:F3:9A:FA:76:2F:2B:B1:20:F2:96:CB:A5:20:C1:B9:7D:B1:58:95:65:B8:1C:B9:A1:7B:72:44 |
CN=VeriSign Class 3 Public Primary Certification Authority - G4, OU="(c) 2007 VeriSign, Inc. - For authorized use only", OU=VeriSign Trust Network, O="VeriSign, Inc.", C=US | 69:DD:D7:EA:90:BB:57:C9:3E:13:5D:C8:5E:A6:FC:D5:48:0B:60:32:39:BD:C4:54:FC:75:8B:2A:26:CF:7F:79 |
CN=VeriSign Class 3 Public Primary Certification Authority - G5, OU="(c) 2006 VeriSign, Inc. - For authorized use only", OU=VeriSign Trust Network, O="VeriSign, Inc.", C=US | 9A:CF:AB:7E:43:C8:D8:80:D0:6B:26:2A:94:DE:EE:E4:B4:65:99:89:C3:D0:CA:F1:9B:AF:64:05:E4:1A:B7:DF |
CN=VeriSign Universal Root Certification Authority, OU="(c) 2008 VeriSign, Inc. - For authorized use only", OU=VeriSign Trust Network, O="VeriSign, Inc.", C=US | 23:99:56:11:27:A5:71:25:DE:8C:EF:EA:61:0D:DF:2F:A0:78:B5:C8:06:7F:4E:82:82:90:BF:B8:60:E8:4B:3C |
上表に記載のいずれかのCAが発行したTLSサーバー証明書をお持ちの場合、DigiCertから無料での証明書置き換えに関する情報を伴うメッセージを受けているはずです。
以下のように、JDKのkeytoolユーティリティを使い、証明書チェーンの詳細を表示することもできます。
チェーンの証明書のいずれかが上表に記載のルートCAのどれかが発行したものである場合、証明書を更新してください。自分が管理しているわけではない場合は、サーバーを管理する組織に連絡してください。keytool -v -list -alias <your_server_alias> -keystore <your_keystore_filename>