[upki-fed:01397] 【ご連絡】UPKI電子証明書発行サービスの旧中間認証局早期失効可能性を受けたIdP/SPの対応について

["xxxxxxxxxxxxxx@xxxxxxxxx" <xxxxxxxxxxxxxx@xxxxxxxxx>]

IdP運用担当者　各位
SP運用担当者　各位
学認情報交換ML参加者　各位

お世話になっております。国立情報学研究所学認事務局です。

UPKI電子証明書発行サービスの旧中間認証局から発行されたサーバ証明書を
IdP/SPの証明書としてメタデータに記載されている機関様へのお知らせです。

すでに

https://certs.nii.ac.jp/news/20210312

等でご案内の通り、UPKI電子証明書発行サービスの旧中間認証局の早期の失効可能性が示されました。
皆様も、新証明書を発行して証明書更新を行うことを検討されているところかと存じます。

ただ、IdP/SPの証明書として見た場合、本件がサーバ証明書自体の鍵漏洩等の危殆化ではなく、
以下のような事情から、相対的にIdP/SP証明書更新の緊急性は低いと考えられます:

1. メタデータ上の証明書については一般的にPKIに基づいた検証を行っていないこと
2. 
IdP/SPにおける証明書の更新手順は複雑であり（後述）これを誤ると認証連携エラーとなること

一方で、Apacheなどのウェブサーバに設定する証明書としては、中間認証局の失効が
ダイレクトに利用者へのエラー表示となりますので、失効前に新証明書へ置き換えて
いただくことが喫緊の課題となります。

ただし、万一中間認証局が失効された場合はそこから発行を受けた証明書が
失効された状態とみなされることに違いはございませんので、
学認技術運用基準7.4)に「使用すべきではない」とありますように
確実に更新していただく必要がございます。

従いまして、緊急の対応として下記更新手順のうち、「Apacheに対して証明書の更新」
の部分を行っていただき、残りのIdP/SPとして使用する証明書の更新に関しては、
旧中間認証局の失効の時期に関わらず認証連携エラーが発生しないよう
手順にそって確実に実行していただくことをご案内させていただきます。

IdPの証明書更新手順:
https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP+Key+Rollover
SPの証明書更新手順:
https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/SP+Key+Rollover

繰り返しになりますが、鍵漏洩等サーバ証明書の危殆化の場合は
本説明の対象外ですので、その場合は通常の手順で早急にご対応ください。

以上、取り急ぎ連絡申し上げます。
ご不明点等がございましたら、学認webサイトのお問い合わせフォーム
（ https://www.gakunin.jp/contact ）にてお問い合わせください。

どうぞよろしくお願いいたします。

--
===============================================
国立情報学研究所　学術基盤課　総括・連携基盤チーム（認証担当）
お問い合わせフォーム：https://www.gakunin.jp/contact
===============================================