moCA WG より重要なお知らせです。

MacOS X & Safari をお使いの皆様へ

 これまでWIDEメンバ証明書を使ったWIDE合宿申し込みページへの
アクセスができないと報告を受けておりました。
 原因がわからず対策を打てないままご不便をおかけしていましたが、
このたび対処方法が見つかりましたので、対処内容をリリース
させていただきます。

他の皆様へ
 
 下記不具合のない方につきましては、対処の必要はありません。
ただし、今回の対処により、CA証明書、具体的には、
WIDE ROOT CA証明書、moCA証明書についてそれぞれ
正規の証明書が2種類という形での運用となります。従っ て、
フィンガープリントを確認される場合には注意が必要となります。
現在の段階では、正規の証明書が2種類有っても利用上の問題は発生
しないことをmoCA WG内の実験で確認しております。

この2種類の正規証明書という形態は、あくまでも現在判明 した問題
点を解決するための経過措置であり、次回の証明書更新の際には、問
題対処済みの証明書に置き換えることになります。

今後のWIDEメンバ証明書配付や、Webサーバ証明書配付では
今回の対処で発行した「符号化問題対応版」のCA証明書を配付
するように移行していきます。
なお、Webサーバに設定しているCA証明書も、「符号化問題対応版」
に入れ替えていただくように別途お勧めしていきます。

以上、よろしくお願い致します。


問題解決のためのガイド(日本語版)

[対処により不具合が解消される端末環境]

  MacOS X & Safari

  現時点ではMacOS X 10.3(Panther)及びMacOS X 10.4 (Tiger)のみで確認
  しております。

[解消される不具合]

  WIDEメンバ証明書を使ったWIDE合宿申し込みサーバ
  "https://widecamp.e-side.co.jp/” へのアクセスを拒否される

[今回の対処を実施するメリット]

  MacOS X標準で付いてくる
  Mail.appで、SMIMEが利用できるようになります。

  また、今後、(WIDE関連の)SSL対応Webサーバで「符号化問題対応版」
  のCA証明書設定が浸透すると、
 WIDEメンバ専用ページへの最初のアクセス時の警告
 「無効な機関により署名されています」が表示されなくなります。

[原因]

  直接はサーバ側の設定が影響していると思われ、
  正確な原因究明がまだ必要です。
  しかし、端末側でも下記の問題があり、
  下記を解決すると、不具合を回避できることがわかりました。

  (Internet Explorer, Mozilla 等では不具合が出ていないものの)
  WIDE ROOT CA証明書、moCA証明書の符号化に問題があり、
  MacOS X & Safari では、CAの証明書と認識できていなかった。

[対処方法]

  WIDE ROOT CA証明書とmoCA証明書の符号化問題対応版をリリースします。
  これらのCA証明書の入れ替えを行ってください。
 WIDE ROOT CA証明書を X509 Anchors に入れるのがコツです。

  新しいWIDE ROOT CA証明書のフィンガープリント
  sha1 フィンガープリント
  be 97 ae 7f c0 37 d2 cb c5 f2 3b eb d3 2c f5 07 74 c3 ef fe
  
  新しい moCA 証明書のフィンガープリント
  sha1 フィンガープリント:
  27 fa 6b c3 25 6d 4f 0f 6b 3d f2 a5 b6 8a 83 0a 53 33 7f 45

 (a) Tigerの場合

    1. キーチェーンアクセスを使って、キーチェーン
      「ログイン」やキーチェーン「X509Anchors」から
       以前にインストールしたmoCA証明書、WIDE ROOT CA証明書を消す。

       キーチェーンアクセスは「アプリケーションフォルダー下のユー
       ティリティーフォルダ」にあります。
       X509Anchorsを変更する際には特権ユーザーのパスワードが必要と
       なります。

    2. 新しいmoCA証明書をキーチェーン「ログイン」に追加する。
       http://moca.wide.ad.jp/moca-for-macos050818.cer
  
    3. 新しいWIDE ROOT CA証明書をキーチェーン
       「X509Anchors」 に追加する。
       http://member.wide.ad.jp/wg/moca/wideroot-for-macos050822.cer

 (b) Pantherやそれより前の場合

    1. キーチェーンアクセスを使って、キーチェーン
      「ログイン」やキーチェーン「X509Anchors」から
       以前にインストールしたmoCA証明書、WIDE ROOT CA証明書を消す。

  2. 証明書キーチェーンがない場合、「キーチェーンを追加」で、
       /System/Library/Keychains/X509Anchors (ルートCA)
       /System/Library/Keychains/X509Certificates (中間CA)
       を追加。

  3. 新しいmoCA証明書をキーチェーン「X509Certificates」に追加する。
       http://moca.wide.ad.jp/moca-for-macos050818.cer
  
    3. 新しいWIDE ROOT CA証明書をキーチェーン「X509Anchors」 に追加する。
       http://member.wide.ad.jp/wg/moca/wideroot-for-macos050822.cer  

  
[さらなる調査について]

  今後、より正確な原因究明の調査を行い、別途レポートにまとめる予定です。

[関連URL]
  http://member.wide.ad.jp/wg/moca/wide_root_ca.html
  http://moca.wide.ad.jp/


moCA WG, WIDE Project, Sep., 2005