[Q]
下記の英語の通知メールが届きました。どういった内容なのでしょうか?
何かしなければならないのでしょうか?
日本語版はないのでしょうか?
If you use certificate pinning, update your trusted root store for Azure Storage services by 29 February 2024
You're receiving this email because you use Azure Storage services.
Many Azure Storage services use intermediate TLS certificates that are set to expire in June 2024. In preparation, we'll begin rolling out updates in March for these expiring certificates in Blob Storage, Azure Files, Table Storage, Queue Storage, static websites, and Data Lake Storage Gen2 in the public Azure cloud and US Government cloud.
If you have client applications that still use certificate pinning, they'll be affected by this change and you'll need to take action by 29 February 2024 to avoid potential connection interruptions. Certificate pinning—when client applications explicitly specify a list of acceptable certificate authorities—is no longer a best practice.
Required action
If you have client applications that have pinned to intermediate certificate authorities, take one of these actions by 29 February 2024 to prevent interruptions to your connections:
• Add the issuing certificate authorities to your trusted root store. Keep using the current intermediate certificate authorities until they're updated.
• Or, to avoid the effects of this update and future certificate updates, discontinue certificate pinning in your applications.
[A]
この通知 (Tracking ID: 3SYG-JCG、他) は、Azure Storage で利用している証明書が 2024 年 6 月に期限が切れるため、2024 年 3 月から証明書の更新が始まる見込みで、それまでに必要な対処についてのお知らせとなります。
Azure Storage と通信するクライアントアプリケーションに、「証明書のピン留め」と呼ばれる処理がない場合は影響はございません。「証明書のピン留め」の詳細については下記参考情報をご参照ください。
「証明書のピン留め」と呼ばれる処理がある場合は影響を受ける可能性があります。クライアントアプリケーションについてご確認をお願いいたします。
なお、Azure の各種サービス自体においては、基本的に影響が無いように調整済みとなっております。
日本語版につきましては、正式なものがなく、あくまでご参考となりますが、下記に機械翻訳の結果を記載させていただきます。
[機械翻訳]
証明書のピン留めを使用する場合は、2024 年 2 月 29 日までに Azure Storage サービスの信頼されたルート ストアを更新してください
このメールを受信しているのは、Azure Storage サービスを使用しているためです。
多くの Azure Storage サービスでは、2024 年 6 月に有効期限が切れる中間 TLS 証明書が使用されています。準備として、3 月に、パブリック Azure クラウドと米国政府機関向けクラウドの Blob Storage、Azure Files、Table Storage、Queue Storage、静的 Web サイト、Data Lake Storage Gen2 で、これらの期限切れの証明書の更新プログラムのロールアウトを開始します。
証明書のピン留めをまだ使用しているクライアント アプリケーションがある場合は、この変更の影響を受けるため、接続の中断の可能性を回避するために、2024 年 2 月 29 日までにアクションを実行する必要があります。証明書のピン留め (クライアント アプリケーションが受け入れ可能な認証局の一覧を明示的に指定する場合) は、もはやベスト プラクティスではありません。
必要なアクション
中間証明機関にピン留めされているクライアント アプリケーションがある場合は、2024 年 2 月 29 日までに次のいずれかのアクションを実行して、接続の中断を防ぎます。
• 発行元の認証局を信頼されたルートストアに追加します。更新されるまで、現在の中間証明機関を使用し続けます。
• または、この更新と今後の証明書の更新の影響を回避するには、アプリケーションでの証明書のピン留めを中止します。
[参考情報]
証明書のピン留めとは
証明書の情報 (thumbprint など) を指定して、"その証明書以外であったら処理を中止する"といった実装を指します。
証明書のピン留めとは
https://learn.microsoft.com/ja-jp/azure/security/fundamentals/certificate-pinning
証明書のピン留めと呼ばれる処理がクライアント側のアプリケーションにあるかどうか確認するには
以下の2点に該当するかどうか、ご確認ください。該当する場合には、指定されている証明書を Renewal された新しい証明書に切り替える必要があります。
・ ソースコードから証明書を指定する実装があるか
・ ある場合には、以下の資料に記載されている期限が切れる証明書があるか
Azure Storage TLS changes: Intermediate certificate renewals (※ 英語ページ)
https://techcommunity.microsoft.com/t5/azure-storage-blog/azure-storage-tls-changes-intermediate-certificate-renewals/ba-p/3929149#:~:text=prevent%20connection%20interruption).-,How%20to%20check,-If%20your%20client%E3%80%91
アプリケーションで証明書のピン留めに対処する方法
https://learn.microsoft.com/ja-jp/azure/security/fundamentals/certificate-pinning#how-to-address-certificate-pinning-in-your-application
<抜粋>
アプリケーション開発者の場合は、変更されるか、期限切れになる CA に関する次のいずれかの参照をソース コードで検索します。一致がある場合は、不足している CA を含むようにアプリケーションを更新します。
・証明書の拇印
・サブジェクト識別名
・共通名
・シリアル番号
・公開キー
・その他の証明書のプロパティ
Azureのサーバー証明書更新に関する通知が来たので、ユーザーへの影響を知りたい
https://azure.github.io/jpazpaas/2022/04/20/tls-certificate-changes.html#gsc.tab=0
<抜粋>
...
サーバー側から提示されている証明書は、各種ブラウザからもご確認頂くことが可能です。
...
証明書の指定(ピン留め)について
https://azure.github.io/jpazpaas/2022/04/20/tls-certificate-changes.html#%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%81%AE%E6%8C%87%E5%AE%9A%E3%83%94%E3%83%B3%E7%95%99%E3%82%81%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6
影響を受ける例外的なパターンとは、上述の様に、特定の証明書のみを信頼するような処理を入れている場合であり、
具体的には
「サーバーから提示された証明書のデータを確認し、特定の証明書でなければ通信を拒否する」
といった条件文を入れている場合です。このような処理が証明書のピン留めや証明書の指定と呼ばれています。
例えば
「xx から発行された証明書でなければ、通信を中止する」
「証明書の thumbprint(証明書が持つ固有の値)が xxxxx でなければ、通信を中止する」
といった条件が入っている場合、通信に影響が発生する可能性があります。
これは証明書の更新によって発行元が変更されたり、証明書の thumbprint が変更されるためです。
つきましては、ユーザーが実装したクライアント側のアプリケーション内に
上述のような証明書のピン留めに該当する処理が含まれていないかをご確認頂き、
影響の有無をご判断頂く必要がございます。
[更新日]
Update:202312
Update:202402