対象: 旧Office 365 Office 365 for Enterprise, Office 365 for Small Business, Office 365 for Education
新Office 365 Office 365 Enterprise, Office 365 Small Business, Office 365 Midsize Business
(この投稿は NextHop ブログに 2013 年 5 月 13 日午前 7 時 (PST) に投稿された記事の翻訳です)
Lync チームは、セキュリティへの継続的な取り組みの一環として、SSL 証明書チェーンへの変更を行ないます。お客様とパートナー様には、これに対応するための処理を 2013 年 6 月 1 日より前に、行っていただく必要があります。Lync Server では、現在 CyberTrust Global Root を使用していますが、6 月 1 日をもって Baltimore CyberTrust Root の使用を開始します。新しいルート証明書は、強力な 2048 ビットのキー長とハッシュ アルゴリズムを使用しており、業界全体のセキュリティのベスト プラクティスにも対応しています。
投稿者: Moustafa Noureddine、マイクロソフト上級プログラム マネージャー
貢献者: Conal Walsh
投稿日: 2013 年 5 月 13 日
製品バージョン: Lync Online
重要 最新の更新プログラムがインストールされている場合、この変更には既に対応済みです。実際に、Microsoft ��ポート診断ツールを実行しても、この問題は検出されません。
Lync チームは、セキュリティへの継続的な取り組みの一環として、SSL 証明書チェーンへの変更を行ないます。お客様とパートナー様には、これに対応するための処理を 2013 年 6 月 1 日より前に、行っていただく必要があります。Lync Server では、現在 CyberTrust Global Root を使用していますが、6 月 1 日をもって Baltimore CyberTrust Root の使用を開始します。新しいルート証明書は、強力な 2048 ビットのキー長とハッシュ アルゴリズムを使用しており、業界全体のセキュリティのベスト プラクティスにも対応しています。
お使いのサービスが、GTE CyberTrust Global Root と Baltimore CyberTrust Root の両方をチェーン先とする証明書を受け付けない場合、証明書検証エラーの発生を回避するため、6 月 1 日より前に対応処理を行ってください。お客様にお願いする対応処理を最小にすべく Lync Server の変更を行っておりますが、今回の変更はセキュリティ上の重要な強化であることを、ご理解いただくようお願いいたします。お客様には、Baltimore CyberTrust Root をダウンロードしていただく必要があります。
2013 年 6 月 1 日をもって、マイクロソフトのすべてのサーバーで Baltimore 証明書が使用されます。このため、同日以前に、Baltimore Root を信頼するようにお使いの Lync Server の展開を更新してください。
Windows Update を定期的に実行している IT 管理者の場合:
- 必要なことは、マイクロソフトに直接接続している各サーバーで、“(ローカル コンピューター) 信頼されたルート証明機関” 証明書ストア内に、新しい Baltimore Root 証明書が既に存在していることを確認するだけです。
Windows Update を定期的に実行していない場合、または信頼されたルート証明機関ストアに新しい Baltimore Root 証明書が表示されていない場合:
- この要件を満たすには、Windows Update を実行するか、マイクロソフトに直接接続する各サーバーに Baltimore Root をインポートします。お客様には、Baltimore Root 証明書をダウンロードしていただく必要があります。
背景情報
証明書によりセキュリティが保護されたプロトコルを介して、さまざまな Lync Server サービスがお客様に公開されています。これらのサービスを呼び出すアプリケーションには、独自の証明書検証チェックが実装されています (これらのチェックはブラウザーで "鍵" アイコンが表示される前に証明書を検証するテストに相当します)。これらのチェックの詳細はアプリケーションによって異なりますが、多くの場合、証明書チェーン内のルート証明書を信頼されたルートの一覧に対して検証します。現在、Lync Server は GTE CyberTrust Global Root をチェーン先とする SSL/TLS 証明書を使用しています。
変更内容
Lync Servers Online で公開されるすべての SSL/TLS 証明書は、Baltimore CyberTrust Root をルートとする新しいチェーンに移行します。当面、Baltimore CyberTrust Root を使用する予定ですが、業界のセキュリティ標準や脅威の軽減対策に進展があった場合には、セキュリティへの取り組みの一環として、変更が行われる場合もあります。
今回の変更はマイクロソフトが所有するドメイン名に対するものであり、お客様がご利用中のホスティング サービスに対して指定されたドメイン名は変更されません。
お客様への影響
Baltimore CyberTrust Root は、Windows、Windows Phone、Android、iOS などの多くのオペレーティング システム、および Internet Explorer、Safari、Chrome、Firefox、Opera などのブラウザーで広く信頼されています。大多数のお客様には、この変更による問題が発生することはないと予想されます。
ただし、Baltimore CyberTrust Root がサーバーの信頼されたルートの一覧に含まれていない一部のお客様においては、証明書検証エラーが発生する場合があります。お客様のサーバーがそのような状態である場合、サーバーで Baltimore CyberTrust Root と GTE CyberTrust Global Root の両方が受け付けられるように、設定を変更する必要があります。Lync サーバーでは、2013 年 6 月 1 日をもって新しい証明書の使用が開始されるため、この変更は同日までに行ってください。Baltimore CyberTrust Root を信頼されたルートの一覧に追加せず、かつ前述の対応処理を行わないお客様においては、証明書検証エラーが発生し、ご利用のサービスの可用性に影響が出る場合があります。
ベスト プラクティスとしては、証明書の検証用の信頼されたルートの一覧をハードコードしないようお勧めします。その代わりに、業界標準や証明機関の変更に伴って更新できる、ポリシー ベースのルート証明書の検証を使用することをお勧めします。ほとんどのお客様には、オペレーティング システムまたはブラウザーの配布の一部として提供される、既定の信頼されたルートの一覧で十分ですが、場合によっては、法的またはコンプライアンスの要件を満たすため、より制限的な組織全体のポリシーを実装することができます。
投稿者について
| Moustafa Noureddine は 2008 年にマイクロソフトに入社し、Windows 部門、Office 部門、現在は合併された Lync および Skype 部門で働きました。現在は Skype 部門で Enterprise Asynchronous Communications チームの上級リード プログラム マネージャーを務めています。専門分野は、エンタープライズ IM およびプレゼンス、エンタープライズ フェデレーション、コンプライアンス、Exchange や SharePoint などのさまざまな Office コンポーネントとの統合などです。 |
追加情報
- Microsoft.com との Lync Server フェデレーション: ルート証明書の変更 (英語)
- Office 365 for enterprises、mid-size businesses、および education のサービス更新