当社RAの運営については、当社プログラム参加後、当社から当社RAに公開される認証ガイドラインの範囲内に限定されます。RA経由で発行される証明書には、改訂証明書プロフィールが含まれます。当該プロフィールにより、RAが依拠当事者への証明書発行プロセスに関与していることが明らかになります。
1.10) 利用者
当社サービスの利用者とは、当社サポートによる取引・通信に関連してPKIを使用する個人または法人のことです。利用者の身分は証明書中で明らかにされ、証明書中の公開鍵に対応する秘密鍵を所有しています。身分証明および証明書発行が完了するまでは、利用者は当社サービスの申請者と呼ばれます。
1.11) 依拠当事者
依拠当事者は、当社証明書に関連してPKIサービスを使用し、利用者証明書中の公開鍵で検証可能な当該証明書およびデジタル署名またはそのいずれか一方に合理的に依拠します。
依拠当事者は、デジタル証明書の有効性を証明する目的で、デジタル証明書中の情報に依拠する前に「証明書失効リスト(CRL)」を参照し、当社が当該証明書を取り消していないことを確認しなければなりません。CRLのロケーションは、証明書中に詳述されています。
2.1) Network Solutions CAインフラストラクチャ
当社CAインフラストラクチャでは、コンピュータのハードウェア・ソフトウェア、各種手続等の信頼できるシステムのもとで証明書サービスが提供されています。当該手続により、以下のことが可能になります。
- セキュリティリスクに対する許容可能な回復力の提供
- 合理的レベルのアベイラビリティ、信頼性および操作正確性の提供
- セキュリティポリシーの実施
2.1.1) Network Solutions ルートCA署名鍵の保護および復元
当社は、IBM 4578暗号プロセッサ装置を用いて、当社CAルート署名鍵ペアの保護を確実にしています。IBM 4578暗号プロセッサ装置は、鍵の生成・保管・使用の面で FIPS 140-1 Level 4 に認定されています。CAルート署名鍵ペア(2048ビット)は、IBM 4578暗号プロセッサ装置内で RSAアルゴリズムを用いて生成されます。
| CAナンバー |
内容 |
使用法 |
有効期限 |
サイズ |
| 28 |
「CyberTrusted」署名付き Network Solutions 認証局 |
SSL証明書のための中間証明書 |
2012年2月8日まで |
2048 |
CAルート鍵を復元させるために、ルートCA署名鍵はセキュアな環境下で暗号化・保存されます。暗号解読鍵は、mリムーバブル・メディアをはさんで分割されますが、再構築には m および n を必要とします。 管理者は、当社認定の代表者として、物理的にセキュアなロケーションからリムーバブル・メディアを入手しておく義務があります。
CAルート署名鍵が別の暗号ハードウェアセキュリティモジュールにバックアップされている場合、当該署名鍵は暗号形式でのみ装置間を転送されます。
BeTrusted は、その AICPA/CICA WebTrust プログラム準拠インフラストラクチャおよびCPSに従い、BeTrusted CAルート署名鍵ペアの保護を確実にします。BeTrusted の WebTrust 準拠性に関する詳細は、BeTrusted の公式サイト(www.betrusted.com)で確認できます。
2.1.2) Network Solutions CAルート署名鍵生成プロセス
当社は、信頼あるシステム(FIPS PUB 140-1 level 4 認定の IBM 4758)を用いて、当社自身の秘密鍵をセキュアな状態で生成・保護し、秘密鍵の危殆化または不正使用に対する予防策を講じます。
当社CAルート鍵は、「ルート鍵生成セレモニーリファレンス(Root Key Generation Ceremony Reference)」で詳述されるガイドラインに沿って生成されました。ルート鍵生成セレモニーの活動状況および関与した人員が監査目的で記録されています。今後のルート鍵生成セレモニーについても、当該リファレンスに従うことになります。
2.1.3) Network Solutions CAルート署名鍵アーカイバル
当社CAルート署名鍵ペアは、有効期限満了後から少なくとも7年間はアーカイブされます。本CPS 2.1.1 で詳述されるように、鍵ペアの個々の鍵は、有効期限満了前に、セキュアなストレージであるセキュア暗号ハードウェアモジュールにアーカイブされます。
2.1.4) CAルート署名鍵変更手続
当社CAルート署名秘密鍵は、2012年2月8日午後11時59分まで有効です。署名秘密鍵の有効期限が終了に近づくと、新しいCA署名鍵ペアが割り当てられ、その後に発行されるすべての証明書およびCRLは、新しい署名秘密鍵で署名されます。両鍵を同時にアクティブにすることができます。新しい署名秘密鍵に対応する新しいCA公開鍵証明書は、本CPS 2.1.5 で詳述される配布方法を用いて、利用者および依拠当事者に提供されます。
2.1.5) 利用者へのNetwork Solutions CAルート公開鍵配布
当社は、そのオンラインリポジトリ(www.netsolssl.com/repository)上で、当社のすべてのCAルート証明書を利用可能にしています。GTE CyberTrust ルート証明書は、Internet Explorer 5.00 以上、Netscape 4.x 以上、Opera 5.0 以上に存在し、これらのブラウザを通じて依拠当事者に利用可能となっています。当社は、利用者証明書を発行および配布次第、完全な証明書チェーン(本CPS 1.7 参照)を利用者に提供します。
2.1.6) 物理的なCAオペレーション
当社(または当社選定第三者業者)施設のセキュアな部分へのアクセスは、物理的なアクセスコントロールで制限されており、適切な権限を持つ個人(本CPSでは「信頼できる人員」と言及されます)しかアクセスできません。当該施設のすべてのエリアを管理、監視およびロジカルアクセスできるように、カードアクセスシステムが機能しています。セキュア施設内にある物理機器へのアクセスは、ロック付キャビネットおよびロジカルアクセスコントロールで保護されています。当社は、すべてのセキュア施設を以下のものから防御するために合理的な努力を払っています。
- 火災・煙による損害(現地の消防規則に沿って火災予防が行われています)
- 洪水・水による損害
すべてのセキュア施設には、メイン・サブ電力供給が装備されており、電力へのアクセスが間断なく持続するようになっています。暖房・空調システムは過熱を防止し、適切な湿度レベルを維持します。
当社は重大な違反、損失、資産の損害・危殆化、および商業活動の妨害を探知・防止するためにあらゆる合理的な努力を払います。
2.2) デジタル証明書管理
当社の証明書管理には、以下の業務が含まれますが限定されません。
- 証明書申請者の身分証明
- 証明書発行の認可
- 証明書の発行
- 証明書の取消
- 証明書取消プロセスによる秘密鍵の廃棄
- 証明書のリスト化
- 証明書の配布
- 証明書の公開
- 証明書の保存
- 使用目的に応じた証明書の取込
当社は、直接または当社認定CAの仲介により、当社PKI内の全般的な認証管理を行います。
当社は利用者鍵ペアの生成、発行、廃止または破棄に関連した業務には携わっていません。
2.3) Network Solutions ディレクトリ、リポジトリおよび証明書失効リスト(CRL)
当社は、証明書失効リスト(CRL)を用いて失効証明書のディレクトリを管理し、当該ディレクトリの一般利用を可能にしています。ユーザーおよび依拠当事者は、証明書情報に依拠する前に、発行済証明書および失効証明書を含むディレクトリを常に参照しておくことを強く勧めます。当社は24時間ごとに、または特別な状況下ではそれ以上の頻度で、新しいCRLを更新および公開しています。末端利用者向け証明書に関するCRLは、以下のURLからアクセス可能です。
http://crl.netsolssl.com/NetworkSolutionsCA.crl
http://crl2.netsolssl.com/NetworkSolutionsCA.crl
中間以上の失効証明書は、以下のCRLで公開されます。
http://www.public-trust.com/cgi-bin/CRL/2018/cdp.crl
当社はまた、PKIサービスに関する法定通知のリポジトリも公開しています。当該法定通知には、本CPS、本CPS内の規約・通知・参照、PKIサービスに不可欠と思われる他の情報等が含まれます。当社の法律リポジトリは、以下のURLにてアクセス可能です。
www.netsolssl.com/repository
2.4) Network Solutions 証明書のタイプ
当社は現在、以下の用途に見合うユーザーの要望に応えるべく、各種デジタル証明書および関連製品を提供しています。
- セキュアなパーソナル・ビジネス通信
- オンライン取引の保護
- 法的・物理的な身分証明
- ネットワーク上またはコミュニティ内にある装置
当社は、妥当と判断した場合、当社製品リスト(各種証明書を含みます)を更新または増補できます。当社が当該リストを発行・更新したからといって、いかなる第三者も賠償請求を行うことができません。当社リエラルキーに新しい証明書製品が加わり次第、本CPSの改訂版が2日以内に、または商業的に実施可能な時期に、当社公式ウェブサイト上で公開されるものとします。
発行済証明書は、当社ディレクトリ内にて公開されます。一時停止・失効の証明書は、適切な形でCRLに記載され、当社ディレクトリ内で公開されます。利用者の秘密鍵について、当社はエスクローを行いません。
2.4.1) Network Solutions 証明書
当社証明書は、SSL(Secure Socket Layer)ウェブサーバーとの組み合わせにより、公開サーバーの身元を完全認証し、法人客および法人ビジネスパートナーとのセキュア通信を可能にします。証明書は3タイプに別れます。
- セキュアリンクSSLベーシック
- セキュアリンクSSLプロ
- セキュアリンクSSLワイルドカード
証明書の価格は、当社公式関連サイト上で確認できます。どのタイプのセキュアサーバー証明書も、本CPS 2.4.3.1 で定めるセキュアサイトシールとセットで販売されます。
a) セキュアリンクSSLベーシック
セキュアリンクSSLベーシック証明書は、当社発行のプロフェッショナルレベルセキュアサーバー証明書です。高額e-コマースおよびデータ転送を行うウェブサイト・内部ネットーワーク向けです。
本CPS 4.2.3(認証規程)に従い、セキュアリンクSSLベーシック証明書を申請する場合、その補助としてプライベートデータベースを使用することができます。セキュアリンクSSLベーシック証明書申請時には必ず申請者提出情報の認証が行われます。
依拠当事者保証に従い、セキュアリンクSSLベーシック証明書関連のすべての補償請求に対する総責任限度額は、1件につき1,000米ドル、総額5万米ドルです。依拠当事者保証の条項はリポジトリにて閲覧可能です。
セキュアリンクSSLベーシック証明書の利用者料金は、当社公式ウェブサイト上で確認できます。
b) セキュアリンクSSLプロ
セキュアリンクSSLプロ証明書は、当社発行のプロフェッショナルレベルセキュアサーバー証明書です。高額e-コマースおよびデータ転送を行うウェブサイト・内部ネットーワーク向けです。
本CPS 4.2.3(認証規程)に従い、セキュアリンクSSLプロ証明書を申請する場合、その補助としてプライベートデータベースを使用することができます。セキュアリンクSSLプロ証明書申請時には必ず申請者提出情報の認証が行われます。
セキュアリンクSSLプロ証明書関連のすべての補償請求に対する総責任限度額は、1件につき1,000米ドル、総額100万米ドルです。依拠当事者保証の条項はリポジトリにて閲覧可能です。
セキュアリンクSSLプロ証明書の利用者料金は、当社公式ウェブサイト上で確認できます。
c) セキュアリンクSSLワイルドカード
セキュアリンクSSLワイルドカード証明書は、当社発行のプロフェッショナルレベルセキュアサーバー証明書です。当社SSL#2証明書1つで、複数のサブドメインをセキュア化することができます。高額e-コマースおよびデータ転送を行うウェブサイト・内部ネットーワーク向けです。
本CPS 4.2.3(認証規程)に従い、セキュアリンクSSLワイルドカード証明書を申請する場合、その補助としてプライベートデータベースを使用することができます。セキュアリンクSSLワイルドカード証明書申請時には必ず申請者提出情報の認証が行われます。
セキュアリンクSSLプロ証明書関連のすべての補償請求に対する総責任限度額は、1件につき1,000米ドル、総額100万米ドルです。依拠当事者保証の条項はリポジトリにて閲覧可能です。
セキュアリンクSSLワイルドカード証明書の利用者料金は、当社公式ウェブサイト上で確認できます。
2.4.2) 本条は差し控えます。
2.4.3) サイトシール
「Network Solutions サイトシール(Network Solutions Site Seal)」とは、利用者のウェブサイト上に表示させることを目的に、当社から利用者に提供されるハイパーリンク画像のことです。当該画像により、利用者が当社デジタル証明書の所有者であること、本CPSの規定を満たす適正者であることの両方またはいずれか一方であることが証明されます。当社サイトシールは、当社セキュアサイトシールまたは当社サイトコンファームシールのいずれかに該当します。
2.4.3.1) セキュアサイトシール
「Network Solutions セキュアサイトシール(Network Solutions Secure Site Seal)」とは、利用者のウェブサイト上に表示させることを目的に、当社から利用者に提供されるハイパーリンク画像のことです。当該画像により、利用者が当社デジタル証明書の所有者であり、かつCPSの基準に沿って認証済みであることが証明されます。利用者は、セキュアサイトシール購入後、利用者のブラウザ上で、当社サイトへのSSL暗号化リンクを開くよう指示されます。当該リンクを開くことができれば、セキュアサイトシール所有者である利用者に当社デジタル証明書が発行され、かつCPSの基準に沿って認証済みであることが証明されます。当社サイトは、当該SSL暗号化リンクを経由して利用者のブラウザに、認証結果のメッセージおよび他の情報を送信します。当社サイトからのレスポンスは、利用者のブラウザ上で画像またはウェブページとして表示されます。当該画像またはウェブページには、セキュアサイトシールにかかわる個人または組織に関する情報および認証結果が含まれ、場合によってはクライアント実行コードも含まれます。セキュアサイトシールは、当社デジタル証明書に付属しており、付属先のデジタル証明書に応じた保証レベルを共有します。
2.4.3.2) サイトコンファームシール
「Network Solutions サイトコンファームシール(Network Solutions Site Confirm Seal)」とは、利用者のウェブサイト上に表示させることを目的に、当社から利用者に提供されるハイパーリンク画像のことです。当該画像により、利用者が当社CPSの基準に沿って認証済みであることが証明されます。利用者は、サイトコンファームシール購入後、利用者のブラウザ上で、当社サイトへのSSL暗号化リンクを開くよう指示されます。当該リンクを開くことができれば、当社CPSの基準に沿って認証を受けた当社サイトシール所有者であることが証明されます。当社サイトは、当該SSL暗号化リンクを経由して利用者のブラウザに、認証結果のメッセージおよび他の情報を送信します。当社サイトからのレスポンスは、利用者のブラウザ上で画像またはウェブページとして表示されます。当該画像またはウェブページには、サイトコンファームシールにかかわる個人または組織に関する情報および認証結果が含まれ、場合によってはクライアント実行コードも含まれます。
2.5) 本条は差し控えます。
2.6) エクステンションおよびネーミング
2.6.1) デジタル証明書のエクステンション
当社は、そのPKI内でデジタル証明書を構築するために、「X.509, version 3」スタンダード(規格)を使用しています。X.509v3のおかげで、CAは特定の証明書エクステンションを基礎証明書構造に追加することができます。当社は、ISO/IEC 9594-8, 1995 の第1修正に基づき、X.509v3の用途に応じた多くの証明書エクステンションを使用します。X.509v3 は、国際電気通信連合(International Telecommunications Union)考案のデジタル証明書スタンダードです。
2.6.2) エクステンションおよび拡張ネーミングの参照編入
拡張ネーミングとは、X.509v3証明書中の拡張組織フィールドを使用することを指します。組織単位フィールドに記載される情報は、Certificate Policy(証明書ポリシー)エクステンションにも含まれ、当社による利用が可能です。
2.7) 利用者秘密鍵生成プロセス
利用者は、証明書リクエストで使用される秘密鍵の生成にすべての責任を負います。当社は、証明書サービスの一環として、鍵生成、エスクロー、復元またはバックアップのための設備・装置を提供しません。
利用者は、証明書の申請後、申請対象証明書のタイプに応じたRSA鍵ペアの生成にすべての責任を負います。申請中は、証明書署名リクエスト(CSR)フォーム上で公開鍵および個人・法人に関する詳細情報を提出する義務があります。
一般に、セキュアサーバー証明書リクエストは、利用者のウェブサーバーソフトウェアで使用可能な鍵生成装置を用いて生成されます。
2.8) 利用者秘密鍵の保護およびバックアップ
利用者は、利用者本人の秘密鍵の保護に対してすべての責任を負います。当社は、証明書サービスの一環という名目で秘密鍵の生成、保護または流通に一切関与しないことを主張します。
当社は、利用者がパスワード認証またはそれと同等の認証方法を用いて、利用者秘密鍵への不正アクセス・使用を防止することを強く勧めます。
2.9) Network Solutions への利用者公開鍵送信
セキュアサーバー証明書リクエストは、利用者のウェブサーバーソフトウェアを用いて作成され、PKCS #10 Certificate Signing Request (CSR) の形式で当社に提出されます。当該リクエストは、当社ウェブサイト経由または当社認定RAを仲介して電子送信されます。
2.10) 利用者への発行済み利用者証明書配布
利用者に利用者証明書を配布する方法は、証明書のタイプに応じて異なります。
2.10.1) セキュアサーバー証明書(セキュアリンクSSLベーシック、セキュアリンクSSLプロ、セキュアリンクSSLワイルドカード)
セキュアリンクSSLベーシック、セキュアリンクSSLプロ、セキュアリンクSSLワイルドカードの各証明書とも、申請プロセス中に提出された管理者コンタクトEmailアドレス経由で利用者にメール送信されます。
2.11) ホールセールパートナーへの発行済み利用者証明書配布
ホールセールパートナーが利用者の代理で申請した利用者セキュアサーバー証明書は、ホールセールパートナーアカウントの管理者コンタクト宛にメール送信されます。
2.12) Network Solutions 証明書プロフィール
当社の証明書プロフィールには、以下のフィールド(項目)が含まれます。
2.12.1) Key Usage(鍵使用)エクステンションフィールド
当社証明書は汎用目的であり、地理・業種上の制約なく使用できます。依拠当事者は、当社証明書に依拠・利用するために、X.509v3 準拠ソフトウェアを使用しなければなりません。当社証明書には Key Usage(鍵使用)エクステンションフィールドが含まれますが、当該フィールドは証明書の使用目的を明確にし、X.509v3 準拠ソフトウェア使用時に証明書の機能性を技術的に制限します。Key Usageエクステンションフィールドに依拠できるかどうかは、ソフトウェアが X.509v3 スタンダードを的確に実行できるかどうかに左右されるため、当社の管理範囲を超えています。
X.509v3 スタンダードで明確になる鍵の使用目的は、おおよそ以下のとおりです。
a) デジタル署名。b)、f)、g) 以外の目的を持つデジタル署名、つまり身分証明およびデータ出所確認を目的としたデジタル署名の厳正な認証。
b) 不拒否。署名者が一部の行為( f)または g)に見られる証明書・CRL署名を除きます)を誤って拒否しないようにする不拒否サービス提供時に使用されるデジタル署名の認証。
c) 鍵暗号化。鍵または他のセキュリティ情報(例えば、鍵転送)の暗号化。
d) データ暗号化。ユーザーデータの暗号化。ただし鍵、または c)に見られるセキュリティ情報は暗号化しません。
e) 鍵合致。公開鍵に合致する鍵としての使用。
f) 鍵証明書署名。証明書上のCA署名の認証。CA証明書でしか使用されません。
g) CRL署名。CRL上のCA署名の認証。
h) 暗号化専用。鍵合致時のデータ暗号化にのみ使用される公開鍵合致鍵。
i) 復号化専用。鍵合致時のデータ解読にのみ使用される公開鍵合致鍵。
2.12.2) Extension Criticality(エクステンション・クリティカリティ)フィールド
Extension Criticality(エクステンション・クリティカリティ)フィールドを使用するかどうかによって、Key Usage(鍵使用)フィールドの用途が2つに異なります。エクステンションが「critical(クリティカル)」と印されている場合、証明書中の鍵は規定の用途にしか適用されません。それ以外の用途で使用すると、発行者のポリシーに違反することになります。エクステンションが「critical」と印されていない場合、Key Usageフィールドは、申請者が特定用途に合った鍵を見つける際の補助となります。
2.12.3) Basic Constraints(基礎制約)エクステンション
Basic Constraints(基礎制約)エクステンションは、証明書の名義人がCAとして機能するのか、それとも単なる末端利用者の証明書に限定されるのかを明らかにします。Basic Constraints エクステンションフィールドに依拠できるかどうかは、ソフトウェアが X.509v3 スタンダードを的確に実行できるかどうかに左右されるため、当社の管理範囲を超えています。
2.12.4) 証明書ポリシー(CP)
証明書ポリシー(CP)とは、デジタル証明書発行者が証明書の発行・使用を規定した声明のことです。ポリシー識別子は、特定ドメイン内で一意(オンリーワン)のナンバーであるため、証明書ポリシーを含むポリシーの特定化を可能にします。
以下は当社証明書プロフィールの一例です。
Network Solutions Secure Server Certificate ・Secure Link SSL - Basic, Secure Link SSL - Pro, Secure Link SSL ・Wildcard
[Network Solutions セキュアサーバー証明書(セキュアリンクSSLベーシック、セキュアリンクSSLプロ、セキュアリンクSSLワイルドカード)] |
Signature Algorithm [署名アルゴリズム] |
Sha1 |
Issuer [発行者] |
CN |
Network Solutions Certificate Authority |
O |
Network Solutions LLC |
C |
US |
Validity
[有効期間] |
1 Year / 2 Year / 3 Year |
Subject [主題] |
CN |
Domain Name |
OU |
/*One of:*/ {
Secure Link SSL Basic |
Secure Link SSL Pro |
Secure Link SSL Wildcard } |
O |
Organization |
OU |
Organization Unit |
STREET |
Street Address |
L |
Locality |
S |
Street |
| PostalCode
|
Zip / Postal Code |
C |
Country |
Authority Key Identifier
[局鍵識別子] |
KeyID=01 b9 98 94 37 2f 52 8e 66 95 97 60 88 59 f7 d8 85 9b f7 87 |
Key Usage (NonCritical)
[鍵使用(非クリティカル)] |
Digital Signature , Key Encipherment(A0) |
Netscape Certificate Type
[Netscape証明書タイプ] |
SSL Client Authentication, SSL Server Authentication(c0) |
Basic Constraint
[基礎制約] |
Subject Type=End Entity
Path Length Constraint=None
|
Certificate Policies
[証明書ポリシー] |
[1]Certificate Policy:
Policy Identifier=1.3.6.1.4.1.782.1.2.1.3.1
[1,1]Policy Qualifier Info:
Policy Qualifier Id=CPS
Qualifier:
http://www.netsolssl.com/repository/relying_party.html |
CRL Distribution Points
[CRL流通ポイント] |
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=http://crl.netsolssl.com/NetworkSolutionsCA.crl
[2]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=http://crl2.netsolssl.com/NetworkSolutionsCA.crl |
Thumbprint Algorithm [拇印アルゴリズム] |
SHA1 |
Thumbprint [拇印] |
|
2.13) Network Solutions 証明書失効リスト(CRL)プロフィール
当社証明書失効リスト(CRL)のプロフィールは以下のとおりです。
Version
[バージョン]
|
[Version 2]
[バージョン 2]
|
Issuer Name
[発行者名] |
commonName=[Root Certificate Common Name]
organizationName=[Root Certificate Organization],
countryName=[Root Certificate Country Name],
[UTF8String encoding]
commonName=[ルート証明書コモンネーム]
organizationName=[ルート証明書組織],
countryName=[ルート証明書国名],
[UTF8文字エンコード]
|
Effective Date
[発効日] |
[Date of Issuance]
[発行日]
|
Next Update
[次回アップデート] |
[Date of Issuance + 24 hours]
[発行日 + 24時間]
|
Revoked Certificates
[失効証明書] |
CRL Entries
[CRL 入力項目]
|
Certificate Serial Number
[証明書シリアルナンバー]
|
[Certificate Serial Number]
[証明書シリアルナンバー]
|
Date and Time of Revocation
[失効日・時間]
|
[Date and Time of Revocation]
[失効日・時間]
|
