セキュリティ通知:（BEA03-44.00）

作成者: BEA Systems Inc.

概要: CA証明書の期限切れ

JDKのデフォルトのcacertsファイルに含まれる VeriSign Inc.から提供された2つのルートCA証明書の有効期限が、2004年1月7日に切れます。VeriSignによると、これらのCA証明書に依存するすべての証明書の有効期限が、2003年12月7日に切れています。つまり、VeriSignは、12か月証明書については2002年12月6日に、また24か月証明書については2001年12月6日に、これらのCA証明書に基づく証明書の発行を停止しました。したがって、VeriSignは、VeriSignのPCAルート証明書の最初の生成が2004年1月に有効期限切れになることにより、お客様にはリスクが生じないものと考えています。

基本的なPKIルールとして、証明書は、それを発行したCAの有効期間を超える有効期間を持つことはできません。証明書を処理する際に、依存するアプリケーションは、証明書チェーンの全体（エンドエンティティ証明書および最終ルートCAまでのすべてのCA）を検査して、このルールが守られていることを確認する必要があります。SSL証明書の場合、Verisignは、2001年に、有効期限が2028年の新しいルートCA証明書を使用する新しい階層に切り替えており、したがって、この切り替え期間前後に発行された期間2年のSSL証明書も、2003年に有効期限が切れます。コード署名証明書は1年間しか有効ではなく、これらの製品に対する階層の切り替えは2002年8月に行われたので、古いルートで発行された最後の証明書は、2003年8月に期限が切れています。すべてのアプリケーションは、エンドエンティティ証明書の有効性と共に階層の有効性を検査しなければならないので、すべてのお客様は、現在までに古い証明書を更新していなければならず、新しい階層で署名された新しい証明書をすでに受け取っているはずです。

BEA WebLogic Serverの起動時に、そのCA証明書が信頼性のあるCAストア（JDKのcacertsファイルを使用することで、または証明書を含む独自の信頼性のあるCAストアであるために）にあるならば、サーバが2004年1月7日以前に起動された場合には、BEA WebLogic Serverは、信頼性のあるCAストア内にある証明書の有効期限が間もなく切れることを示す警告メッセージを表示します。証明書の有効期限が切れると、警告メッセージは、信頼性のあるCAストアに格納されている証明書の有効期限が切れていることを示すメッセージに変わります。

BEA WebLogic Serverは、有効期限の切れた証明書、または信頼性のあるキーストアにあるCA証明書であっても、有効期限の切れたCA証明書によって署名された証明書を、拒絶します。つまり、警告メッセージが発生しても、または有効期限の切れたCA証明書が信頼性のあるキーストアに存在していても、脆弱性にはなりません。これらの警告メッセージは、単に無視してかまいません。

このような有効期限切れのCA証明書に関する問題は、Sun MicrosystemsがVeriSignの新しいCA証明書をJDKのcacertsに含めなかったことにあります。JDKのcacertsファイルをBEA WebLogic Serverに対する信頼に使用している場合、新しいVeriSign CA証明書によって署名された有効な証明書が拒絶されます。 http://sunsolve.sun.com/search/document.do?assetkey=1-26-57436-1にあるSun警告通知の「Relief/Workaround」の指示に従えば、新しいルートCA証明書をJDKのcacertsファイルに追加できます。