Cybertrust Japan Certificate Policy/Certification Practice Statement for Public Server Certificate （サイバートラストサーバー証明書ポリシー/認証局運用規程) OID: 1.2.392.200081.1.32 Version 2.00 サイバートラスト株式会社 2025 年 2 月 14 日 --- **■ 本書の著作権と配布条件** 本書は、Creative Commons ライセンスの Attribution-NoDerivs（CC-BY-ND）4.0（またはそれ以降のバージョン）で利用可能です。 © 2020 Cybertrust Japan Co., Ltd. Version 2.00 制定・改訂日：2025 年 2 月 14 日本書は、以下の条件を満たす場合、無償で全体もしくは一部を複製および配布することが可能です。 - 全体もしくは一部の複製上に上記著作権表示と Version、改訂日を表示すること。 - この文書の一部のみを配布する場合、https://www.cybertrust.ne.jp/ssl/repository_rt/にて全文を入手できることを示すこと。 - 抜粋および他の文書での引用としてこの文書の一部を使用する場合、引用元を適切に明示すること。 - 複製および配布に係る一切の紛争および損害に対し当社は責めを負わないものとします。 - なお、改変、修正はいかなる場合でも禁止します。本書の著作権と配布条件に関するお問い合わせは、本書「1.5.2 連絡窓口」にて受け付けます。 --- # 改訂履歴

Version	日付	改訂事由
1.00	2021年10月14日	従来の２つのCPS（ JCSIルート認証局運用規程、およびサイバートラストルート認証局運用規程）を統合し、Cybertrust Japan Certification Practice Statement（サイバートラスト認証局運用規程) として改めて初版制定（注記参照）
1.01	2021年11月25日	「5.4.1 記録されるイベントの種類」を修正
1.02	2022年8月25日	「5.4.1 記録されるイベントの種類」を修正「9.16.3 分離条項」へ追記その他、軽微な修正
1.03	2022年9月21日	認証局証明書の失効に伴い、「1.1概要」、「Appendix B:失効済み認証局リスト」を修正
1.04	2022年11月11日	「1.1 概要」で参照される文書名を修正
1.05	2023年4月21日	「5.3.3 教育および訓練」に審査担当者の内部試験について追加「5.7.1 危殆化および災害からの復旧手続き」にルートプログラムへの通知を追記「6.7 ネットワークセキュリティ管理」に準拠する要件を追記
1.06	2023年4月28日	認証局証明書の失効に伴い、「1.1概要」、「2.2 公開する情報」、および「Appendix B:失効済み認証局リスト」を修正
1.07	2023年8月24日	認証局証明書の発行に伴い、「1.1概要」を修正認証局証明書の失効に伴い、「1.1概要」および「Appendix B:失効済み認証局リスト」を修正「1.5.2 連絡窓口」の記述を明確化のため追加「9.12.1 改訂手続き」の記述を修正「Appendix A:用語の定義」に用語を追加その他、軽微な修正
1.08	2024年3月15日	「6.8 タイムスタンプ」の記述を修正その他、軽微な修正
1.09	2024年4月15日	「1.1概要」に記述を追加「1.3.3 発行局」を「1.3.1.1 発行局」へ修正「1.3.2.1エンタープライズ登録局」を追加「1.3.5 その他の関係者」にタイムスタンプ局の記述を追加「2.4 リポジトリに対するアクセスコントロール」の記述を修正「5.7.1 危殆化および災害からの復旧手続き」の記述を修正
1.10	2024年7月30日	「1.1 概要」および「2.2 証明情報の公開」に新規に発行した認証局の情報を追加「1.3.3 加入者」の記述を修正「1.3.5その他の関係者」の記述を明確化「5.4.1.1 ルーターとファイアウォールの動作ログ」を追加「 6.4.1 活性化データの作成および設定」の記述をHSM機器の新規調達に伴い変更「7.1 証明書のプロファイル」、「7.2 CRLのプロファイル」、「7.3 OCSPのプロファイル」、「9.1 料金」および「9.2 財務的責任」にサブセクションを追加その他、軽微な修正、および誤記修正
1.11	2024年8月20日	「1.1 概要」および「2.2 公開する情報」から失効した下位認証局の情報を削除下位認証局の失効により発行を終了するS/MIME証明書のOrganization-validated Legacy Generation、EVコード署名証明書、Non EVコード署名証明書、およびタイムスタンプ証明書に関係する箇所の削除・変更「Appendix B:失効済み認証局リスト」に失効した下位認証局の情報を追加
1.12	2024年9月13日	「5.4.1 記録されるイベントの種類」 Appendix Aに用語の定義を追加その他、軽微な修正
2.00	2025年2月14日	CP(サイバートラスト証明書ポリシー)とCPS(サイバートラスト認証局運用規程)を統合、かつ S/MIMEに関する記述を削除し、SSL/TLSサーバー証明書専用のCP/CPS(サイバートラストサーバー証明書ポリシー/認証局運用規程)を制定

--- # [目次](#目次) - [改訂履歴](#改訂履歴) - [目次](#目次) - [1. はじめに](#1-はじめに) - [1.1 概要](#11-概要) - [1.2 文書名と識別](#12-文書名と識別) - [1.3 PKI の関係者](#13-pki-の関係者) - [1.3.1 認証局](#131-認証局) - [1.3.1.1 発行局](#1311-発行局) - [1.3.2 登録局](#132-登録局) - [1.3.2.1 エンタープライズ登録局](#1321-エンタープライズ登録局) - [1.3.3 加入者](#133-加入者) - [1.3.4 信頼当事者](#134-信頼当事者) - [1.3.5 その他の関係者](#135-その他の関係者) - [1.4 証明書の用途](#14-証明書の用途) - [1.4.1 適切な証明書の用途](#141-適切な証明書の用途) - [1.4.2 禁止される証明書の用途](#142-禁止される証明書の用途) - [1.5 ポリシー管理](#15-ポリシー管理) - [1.5.1 文書を管理する組織](#151-文書を管理する組織) - [1.5.2 連絡窓口](#152-連絡窓口) - [1.5.3 CP/CPS の適合性を決定する者](#153-cpcps-の適合性を決定する者) - [1.5.4 CP/CPS の承認手続き](#154-cpcps-の承認手続き) - [1.6 定義と略語](#16-定義と略語) - [2. 公開とリポジトリの責任](#2-公開とリポジトリの責任) - [2.1 リポジトリ](#21-リポジトリ) - [2.2 証明情報の公開](#22-証明情報の公開) - [2.3 公開の時期と頻度](#23-公開の時期と頻度) - [2.4 リポジトリに対するアクセスコントロール](#24-リポジトリに対するアクセスコントロール) - [3. 識別および認証](#3-識別および認証) - [3.1 名前の決定](#31-名前の決定) - [3.1.1 名称のタイプ](#311-名称のタイプ) - [3.1.2 名前が意味を持つことの必要性](#312-名前が意味を持つことの必要性) - [3.1.3 加入者の匿名・仮名について](#313-加入者の匿名仮名について) - [3.1.4 様々な名称形式を解釈するためのルール](#314-様々な名称形式を解釈するためのルール) - [3.1.5 名称の一意性](#315-名称の一意性) - [3.1.6 商標等の認識、認証および役割](#316-商標等の認識認証および役割) - [3.2 初回の本人性確認](#32-初回の本人性確認) - [3.2.1 秘密鍵の所有を確認する方法](#321-秘密鍵の所有を確認する方法) - [3.2.2 組織の認証](#322-組織の認証) - [3.2.2.1 身元の確認](#3221-身元の確認) - [3.2.2.2 DBA/Tradename](#3222-dbatradename) - [3.2.2.3 Country の確認](#3223-country-の確認) - [3.2.2.4 ドメインの承認または制御の審査](#3224-ドメインの承認または制御の審査) - [3.2.2.5 IP アドレスの認証](#3225-ip-アドレスの認証) - [3.2.2.6 ワイルドカードドメインの認証](#3226-ワイルドカードドメインの認証) - [3.2.2.7 データソースの正確度](#3227-データソースの正確度) - [3.2.2.8 CAA レコード](#3228-caa-レコード) - [3.2.2.9 Multi-Perspective Issuance Corroboration](#3229-multi-perspective-issuance-corroboration) - [3.2.2.10 DNS CAA Contact へのメール ](#32210-dns-caa-contact-へのメール-) - [3.2.2.11 DNS TXT Contact へのメール ](#32211-dns-txt-contact-へのメール-) - [3.2.2.12 Domain Contact への電話連絡](#32212-domain-contact-への電話連絡) - [3.2.2.13 Phone Contact with DNS TXT Record Phone Contact ](#32213-phone-contact-with-dns-txt-record-phone-contact) - [3.2.2.14 Phone Contact with DNS CAA Phone Contact ](#32214-phone-contact-with-dns-caa-phone-contact) - [3.2.2.15 合意に基づく Web サイトの変更 v2](#32215-合意に基づく-web-サイトの変更-v2) - [3.2.2.16 合意に基づく Web サイトの変更 – ACME](#32216-合意に基づく-web-サイトの変更--acme) - [3.2.2.17 ALPN を使用した TLS](#32217-alpn-を使用した-tls) - [3.2.3 個人の認証](#323-個人の認証) - [3.2.4 確認しない加入者情報](#324-確認しない加入者情報) - [3.2.5 権限の正当性確認](#325-権限の正当性確認) - [3.2.6 相互運用性基準](#326-相互運用性基準) - [3.3 鍵更新申請時の本人性確認と認証](#33-鍵更新申請時の本人性確認と認証) - [3.3.1 通常の鍵更新時における本人性確認と認証](#331-通常の鍵更新時における本人性確認と認証) - [3.3.2 証明書失効後の鍵更新時における本人性確認と認証](#332-証明書失効後の鍵更新時における本人性確認と認証) - [3.4 失効申請時の本人性確認と認証](#34-失効申請時の本人性確認と認証) - [4. 証明書のライフサイクル運用的要件](#4-証明書のライフサイクル運用的要件) - [4.1 証明書申請](#41-証明書申請) - [4.1.1 証明書の申請が認められる者](#411-証明書の申請が認められる者) - [4.1.2 申請方法および責任](#412-申請方法および責任) - [4.2 証明書申請の処理](#42-証明書申請の処理) - [4.2.1 本人性確認と認証業務の実行](#421-本人性確認と認証業務の実行) - [4.2.2 証明書申請の承認または拒否](#422-証明書申請の承認または拒否) - [4.2.3 証明書申請の処理に要する時間](#423-証明書申請の処理に要する時間) - [4.3 証明書の発行](#43-証明書の発行) - [4.3.1 認証局における証明書発行処理](#431-認証局における証明書発行処理) - [4.3.2 加入者に対する証明書の発行通知](#432-加入者に対する証明書の発行通知) - [4.4 証明書の受領](#44-証明書の受領) - [4.4.1 証明書受領手続き](#441-証明書受領手続き) - [4.4.2 認証局による証明書の公開](#442-認証局による証明書の公開) - [4.4.3 認証局による他の関係者に対する証明書発行の通知](#443-認証局による他の関係者に対する証明書発行の通知) - [4.5 鍵ペアと証明書の利用](#45-鍵ペアと証明書の利用) - [4.5.1 加入者による秘密鍵と証明書の利用](#451-加入者による秘密鍵と証明書の利用) - [4.5.2 信頼当事者による加入者の公開鍵と証明書の利用](#452-信頼当事者による加入者の公開鍵と証明書の利用) - [4.6 鍵更新を伴わない証明書の更新](#46-鍵更新を伴わない証明書の更新) - [4.6.1 鍵更新を伴わない証明書の更新に関する要件](#461-鍵更新を伴わない証明書の更新に関する要件) - [4.6.2 更新申請が認められる者](#462-更新申請が認められる者) - [4.6.3 更新申請の手続き](#463-更新申請の手続き) - [4.6.4 更新された証明書の発行に関する通知](#464-更新された証明書の発行に関する通知) - [4.6.5 更新された証明書の受領手続き](#465-更新された証明書の受領手続き) - [4.6.6 更新された証明書の公開](#466-更新された証明書の公開) - [4.6.7 認証局による他の関係者に対する証明書の発行通知](#467-認証局による他の関係者に対する証明書の発行通知) - [4.7 鍵更新を伴う証明書の更新](#47-鍵更新を伴う証明書の更新) - [4.7.1 鍵更新を伴う証明書の更新に関する要件](#471-鍵更新を伴う証明書の更新に関する要件) - [4.7.2 更新申請が認められる者](#472-更新申請が認められる者) - [4.7.3 更新申請の手続き](#473-更新申請の手続き) - [4.7.4 鍵更新された証明書の発行に関する通知](#474-鍵更新された証明書の発行に関する通知) - [4.7.5 鍵更新された証明書の受領手続き](#475-鍵更新された証明書の受領手続き) - [4.7.6 鍵更新された証明書の公開](#476-鍵更新された証明書の公開) - [4.7.7 他の関係者に対する鍵更新された証明書の発行通知](#477-他の関係者に対する鍵更新された証明書の発行通知) - [4.8 証明書の変更](#48-証明書の変更) - [4.8.1 証明書の変更に関する要件](#481-証明書の変更に関する要件) - [4.8.2 変更申請が認められる者](#482-変更申請が認められる者) - [4.8.3 変更申請の手続き](#483-変更申請の手続き) - [4.8.4 変更された証明書の発行に関する通知](#484-変更された証明書の発行に関する通知) - [4.8.5 変更された証明書の受領手続き](#485-変更された証明書の受領手続き) - [4.8.6 変更された証明書の公開](#486-変更された証明書の公開) - [4.8.7 他の関係者に対する変更された証明書の発行通知](#487-他の関係者に対する変更された証明書の発行通知) - [4.9 証明書の失効および一時停止](#49-証明書の失効および一時停止) - [4.9.1 失効に関する要件](#491-失効に関する要件) - [4.9.1.1 証明書の失効理由](#4911-証明書の失効理由) - [4.9.1.2 下位認証局証明書の失効理由](#4912-下位認証局証明書の失効理由) - [4.9.1.3 その他の証明書の失効理由](#4913-その他の証明書の失効理由) - [4.9.1.3.1 ルート認証局証明書](#49131-ルート認証局証明書) - [4.9.1.3.2 OCSP レスポンダー証明書](#49132-ocsp-レスポンダー証明書) - [4.9.2 失効申請が認められる者](#492-失効申請が認められる者) - [4.9.3 失効申請の手続き](#493-失効申請の手続き) - [4.9.4 失効申請までの猶予期間](#494-失効申請までの猶予期間) - [4.9.5 認証局における失効処理にかかる時間](#495-認証局における失効処理にかかる時間) - [4.9.6 信頼当事者による失効の確認方法](#496-信頼当事者による失効の確認方法) - [4.9.7 CRL 発行周期](#497-crl-発行周期) - [4.9.8 CRL の最大遅延時間](#498-crl-の最大遅延時間) - [4.9.9 オンラインでの失効情報の確認](#499-オンラインでの失効情報の確認) - [4.9.10 オンラインでの失効/ステータス確認を行うための要件](#4910-オンラインでの失効ステータス確認を行うための要件) - [4.9.11 その他の利用可能な失効情報の提供手段](#4911-その他の利用可能な失効情報の提供手段) - [4.9.12 鍵の危殆化に対する特別要件](#4912-鍵の危殆化に対する特別要件) - [4.9.12.1 証明書](#49121-証明書) - [4.9.12.2 OCSP レスポンダー証明書](#49122-ocsp-レスポンダー証明書) - [4.9.13 証明書の一時停止に関する要件](#4913-証明書の一時停止に関する要件) - [4.9.14 一時停止の申請が認められる者](#4914-一時停止の申請が認められる者) - [4.9.15 一時停止の申請手続き](#4915-一時停止の申請手続き) - [4.9.16 一時停止の期間](#4916-一時停止の期間) - [4.10 証明書のステータス確認サービス](#410-証明書のステータス確認サービス) - [4.10.1 運用上の特性](#4101-運用上の特性) - [4.10.2 サービスの可用性](#4102-サービスの可用性) - [4.10.3 その他の要件](#4103-その他の要件) - [4.11 加入（登録）の終了](#411-加入登録の終了) - [4.12 鍵の第三者預託および鍵回復](#412-鍵の第三者預託および鍵回復) - [4.12.1 鍵の預託および鍵回復のポリシーならびに手順](#4121-鍵の預託および鍵回復のポリシーならびに手順) - [4.12.2 セッションキーのカプセル化と鍵回復のポリシーおよび実施](#4122-セッションキーのカプセル化と鍵回復のポリシーおよび実施) - [5. 設備上、運営上、運用上の管理](#5-設備上運営上運用上の管理) - [5.1 物理的管理](#51-物理的管理) - [5.1.1 立地場所および構造](#511-立地場所および構造) - [5.1.2 物理的アクセス](#512-物理的アクセス) - [5.1.3 電源・空調設備](#513-電源空調設備) - [5.1.4 水害対策](#514-水害対策) - [5.1.5 火災対策](#515-火災対策) - [5.1.6 媒体保管場所](#516-媒体保管場所) - [5.1.7 廃棄物処理](#517-廃棄物処理) - [5.1.8 オフサイトバックアップ](#518-オフサイトバックアップ) - [5.1.9 地震対策](#519-地震対策) - [5.2 手続的管理](#52-手続的管理) - [5.2.1 信頼される役割](#521-信頼される役割) - [5.2.1.1 認証局責任者](#5211-認証局責任者) - [5.2.1.2 発行局管理者](#5212-発行局管理者) - [5.2.1.3 発行局システムアドミニストレーター](#5213-発行局システムアドミニストレーター) - [5.2.1.4 発行局オペレーター](#5214-発行局オペレーター) - [5.2.1.5 登録局管理者](#5215-登録局管理者) - [5.2.1.6 登録局オペレーター管理者](#5216-登録局オペレーター管理者) - [5.2.1.7 登録局オペレーター](#5217-登録局オペレーター) - [5.2.2 役割ごとに必要とされる人数](#522-役割ごとに必要とされる人数) - [5.2.3 各役割における本人性確認と認証](#523-各役割における本人性確認と認証) - [5.2.4 職務の分離が必要とされる役割](#524-職務の分離が必要とされる役割) - [5.3 人事的管理](#53-人事的管理) - [5.3.1 経歴、資格、経験等に関する要求事項](#531-経歴資格経験等に関する要求事項) - [5.3.2 身元調査手続き](#532-身元調査手続き) - [5.3.3 教育および訓練](#533-教育および訓練) - [5.3.4 再教育・訓練の周期と要件](#534-再教育訓練の周期と要件) - [5.3.5 職務ローテーションの周期と順序](#535-職務ローテーションの周期と順序) - [5.3.6 許可されていない行動に対する罰則](#536-許可されていない行動に対する罰則) - [5.3.7 契約社員等に対する契約要件](#537-契約社員等に対する契約要件) - [5.3.8 認証局員が参照できる文書](#538-認証局員が参照できる文書) - [5.4 監査ログの手続き](#54-監査ログの手続き) - [5.4.1 記録されるイベントの種類](#541-記録されるイベントの種類) - [5.4.1.1 ルーターとファイアウォールの動作ログ](#5411-ルーターとファイアウォールの動作ログ) - [5.4.2 監査ログを処理する頻度](#542-監査ログを処理する頻度) - [5.4.3 監査ログの保管期間](#543-監査ログの保管期間) - [5.4.4 監査ログの保護](#544-監査ログの保護) - [5.4.5 監査ログのバックアップ手続き](#545-監査ログのバックアップ手続き) - [5.4.6 監査ログの収集システム](#546-監査ログの収集システム) - [5.4.7 当事者への通知](#547-当事者への通知) - [5.4.8 脆弱性評価](#548-脆弱性評価) - [5.5 記録の保管](#55-記録の保管) - [5.5.1 保管対象となる記録](#551-保管対象となる記録) - [5.5.2 記録の保管期間](#552-記録の保管期間) - [5.5.3 記録の保護](#553-記録の保護) - [5.5.4 記録のバックアップ手続き](#554-記録のバックアップ手続き) - [5.5.5 記録のタイムスタンプについて](#555-記録のタイムスタンプについて) - [5.5.6 記録収集システム](#556-記録収集システム) - [5.5.7 記録の取得と検証手続き](#557-記録の取得と検証手続き) - [5.6 認証局の鍵更新](#56-認証局の鍵更新) - [5.7 危殆化および災害からの復旧](#57-危殆化および災害からの復旧) - [5.7.1 危殆化および災害からの復旧手続き](#571-危殆化および災害からの復旧手続き) - [5.7.2 システム資源の障害時の手続き](#572-システム資源の障害時の手続き) - [5.7.3 加入者秘密鍵の危殆化時の手続き](#573-加入者秘密鍵の危殆化時の手続き) - [5.7.4 災害時等の事業継続性](#574-災害時等の事業継続性) - [5.8 認証局の業務の終了](#58-認証局の業務の終了) - [6. 技術的セキュリティ管理](#6-技術的セキュリティ管理) - [6.1 鍵ペアの生成および導入](#61-鍵ペアの生成および導入) - [6.1.1 鍵ペアの生成](#611-鍵ペアの生成) - [6.1.2 加入者秘密鍵の配送](#612-加入者秘密鍵の配送) - [6.1.3 認証局への加入者公開鍵の配送](#613-認証局への加入者公開鍵の配送) - [6.1.4 信頼当事者への認証局公開鍵の配送](#614-信頼当事者への認証局公開鍵の配送) - [6.1.5 鍵サイズ](#615-鍵サイズ) - [6.1.6 公開鍵パラメーター生成および検査](#616-公開鍵パラメーター生成および検査) - [6.1.7 鍵用途](#617-鍵用途) - [6.2 秘密鍵の保護および暗号モジュール技術の管理](#62-秘密鍵の保護および暗号モジュール技術の管理) - [6.2.1 暗号モジュールの標準および管理](#621-暗号モジュールの標準および管理) - [6.2.2 秘密鍵の複数人管理（n out of m）](#622-秘密鍵の複数人管理n-out-of-m) - [6.2.3 秘密鍵の預託](#623-秘密鍵の預託) - [6.2.4 秘密鍵のバックアップ](#624-秘密鍵のバックアップ) - [6.2.5 秘密鍵のアーカイブ](#625-秘密鍵のアーカイブ) - [6.2.6 秘密鍵の暗号モジュールへのまたは暗号モジュールからの転送](#626-秘密鍵の暗号モジュールへのまたは暗号モジュールからの転送) - [6.2.7 暗号モジュール内での秘密鍵保存](#627-暗号モジュール内での秘密鍵保存) - [6.2.8 秘密鍵の活性化](#628-秘密鍵の活性化) - [6.2.9 秘密鍵の非活性化](#629-秘密鍵の非活性化) - [6.2.10 秘密鍵破壊の方法](#6210-秘密鍵破壊の方法) - [6.2.11 暗号モジュールの評価](#6211-暗号モジュールの評価) - [6.3 鍵ペアのその他の管理](#63-鍵ペアのその他の管理) - [6.3.1 公開鍵の保存](#631-公開鍵の保存) - [6.3.2 証明書の有効期間と鍵ペアの有効期間](#632-証明書の有効期間と鍵ペアの有効期間) - [6.4 活性化データ](#64-活性化データ) - [6.4.1 活性化データの作成および設定](#641-活性化データの作成および設定) - [6.4.2 活性化データの保護](#642-活性化データの保護) - [6.4.3 活性化データのその他](#643-活性化データのその他) - [6.5 コンピューターのセキュリティ管理](#65-コンピューターのセキュリティ管理) - [6.5.1 コンピューターセキュリティに関する技術的要件](#651-コンピューターセキュリティに関する技術的要件) - [6.5.2 コンピューターセキュリティの評価](#652-コンピューターセキュリティの評価) - [6.6 ライフサイクル技術管理](#66-ライフサイクル技術管理) - [6.6.1 システム開発管理](#661-システム開発管理) - [6.6.2 セキュリティ運用管理](#662-セキュリティ運用管理) - [6.6.3 ライフサイクルセキュリティ管理](#663-ライフサイクルセキュリティ管理) - [6.7 ネットワークセキュリティ管理](#67-ネットワークセキュリティ管理) - [6.8 タイムスタンプ](#68-タイムスタンプ) - [7. 証明書、CRL、および OCSP のプロファイル](#7-証明書crlおよび-ocsp-のプロファイル) - [7.1 証明書のプロファイル](#71-証明書のプロファイル) - [7.1.1 バージョン番号](#711-バージョン番号) - [7.1.2 証明書拡張領域](#712-証明書拡張領域) - [7.1.3 アルゴリズムオブジェクト識別子](#713-アルゴリズムオブジェクト識別子) - [7.1.3.1 SubjectPublicKeyInfo（サブジェクト公開鍵情報）](#7131-subjectpublickeyinfoサブジェクト公開鍵情報) - [7.1.3.2 signatureAlgorithm（署名アルゴリズム）](#7132-signaturealgorithm署名アルゴリズム) - [7.1.4 名前の形式](#714-名前の形式) - [7.1.5 名称の制約](#715-名称の制約) - [7.1.6 証明書ポリシーオブジェクト識別子](#716-証明書ポリシーオブジェクト識別子) - [7.1.7 ポリシー制約拡張の使用](#717-ポリシー制約拡張の使用) - [7.1.8 ポリシー修飾子の構文および意味](#718-ポリシー修飾子の構文および意味) - [7.1.9 証明書ポリシー拡張についての処理方法](#719-証明書ポリシー拡張についての処理方法) - [7.2 CRL のプロファイル](#72-crl-のプロファイル) - [7.2.1 バージョン番号](#721-バージョン番号) - [7.2.2 CRL、CRL エントリ拡張](#722-crlcrl-エントリ拡張) - [7.3 OCSP のプロファイル](#73-ocsp-のプロファイル) - [7.3.1 バージョン番号](#731-バージョン番号) - [7.3.2 OCSP 拡張](#732-ocsp-拡張) - [8. 準拠性監査およびその他の評価](#8-準拠性監査およびその他の評価) - [8.1 監査の頻度および要件](#81-監査の頻度および要件) - [8.2 監査人の身元/資格](#82-監査人の身元資格) - [8.3 監査人と被監査者の関係](#83-監査人と被監査者の関係) - [8.4 監査の範囲](#84-監査の範囲) - [8.5 指摘事項の対応](#85-指摘事項の対応) - [8.6 監査結果の開示](#86-監査結果の開示) - [8.7 内部監査](#87-内部監査) - [9. その他の業務上および法的な事項](#9-その他の業務上および法的な事項) - [9.1 料金](#91-料金) - [9.1.1 証明書の発行または更新にかかる料金](#911-証明書の発行または更新にかかる料金) - [9.1.2 証明書のアクセス料金](#912-証明書のアクセス料金) - [9.1.3 失効またはステータス情報のアクセス料金](#913-失効またはステータス情報のアクセス料金) - [9.1.4 他サービスの料金](#914-他サービスの料金) - [9.1.5 返金ポリシー](#915-返金ポリシー) - [9.2 財務的責任](#92-財務的責任) - [9.2.1 保険の補償](#921-保険の補償) - [9.2.2 その他の資産](#922-その他の資産) - [9.2.3 エンドエンティティの保険または保証範囲](#923-エンドエンティティの保険または保証範囲) - [9.3 企業情報の機密性](#93-企業情報の機密性) - [9.3.1 機密情報の範囲](#931-機密情報の範囲) - [9.3.2 機密情報の範囲外の情報](#932-機密情報の範囲外の情報) - [9.3.3 機密情報の保護責任](#933-機密情報の保護責任) - [9.4 個人情報の保護](#94-個人情報の保護) - [9.4.1 個人情報保護方針](#941-個人情報保護方針) - [9.4.2 個人情報として扱われる情報](#942-個人情報として扱われる情報) - [9.4.3 個人情報とみなされない情報](#943-個人情報とみなされない情報) - [9.4.4 個人情報の保護責任](#944-個人情報の保護責任) - [9.4.5 個人情報の利用に関する通知と同意](#945-個人情報の利用に関する通知と同意) - [9.4.6 司法手続きまたは行政手続きに基づく公開](#946-司法手続きまたは行政手続きに基づく公開) - [9.4.7 他の情報公開の場合](#947-他の情報公開の場合) - [9.5 知的財産権](#95-知的財産権) - [9.6 表明保証](#96-表明保証) - [1.3.1 認証局の表明保証](#131-認証局の表明保証) - [9.6.2 登録局の表明保証](#962-登録局の表明保証) - [9.6.3 加入者の表明保証](#963-加入者の表明保証) - [9.6.4 信頼当事者の表明保証](#964-信頼当事者の表明保証) - [9.6.5 他の関係者の表明保証](#965-他の関係者の表明保証) - [9.7 不保証](#97-不保証) - [9.8 責任の制限](#98-責任の制限) - [9.9 補償](#99-補償) - [9.9.1 加入者および信頼当事者による補償](#991-加入者および信頼当事者による補償) - [9.9.2 サイバートラストによる補償](#992-サイバートラストによる補償) - [9.10 有効期間と終了](#910-有効期間と終了) - [9.10.1 有効期間](#9101-有効期間) - [9.10.2 終了](#9102-終了) - [9.10.3 終了の影響と存続条項](#9103-終了の影響と存続条項) - [9.11 関係者間の個別通知と連絡](#911-関係者間の個別通知と連絡) - [9.12 改訂](#912-改訂) - [9.12 改訂手続き](#912-改訂手続き) - [9.12.2 通知方法と期間](#9122-通知方法と期間) - [9.12.3 オブジェクト識別子の変更](#9123-オブジェクト識別子の変更) - [9.13 紛争解決手続き](#913-紛争解決手続き) - [9.14 準拠法](#914-準拠法) - [9.15 適用法の遵守](#915-適用法の遵守) - [9.16 雑則](#916-雑則) - [9.16.1 完全合意条項](#9161-完全合意条項) - [9.16.2 権利譲渡条項](#9162-権利譲渡条項) - [9.16.3 分離条項](#9163-分離条項) - [9.16.4 強制執行条項](#9164-強制執行条項) - [9.16.5 不可抗力条項](#9165-不可抗力条項) - [9.17 その他の規定](#917-その他の規定) - [Appendix A: 加入者証明書の審査方法](#appendix-a-加入者証明書の審査方法) - [Appendix B:用語の定義](#appendix-b用語の定義) - [Appendix C:証明書等のプロファイル](#appendix-c証明書等のプロファイル) - [Appendix D:失効済み認証局リスト](#appendix-d失効済み認証局リスト) --- # 1\. はじめに ## 1.1 概要サイバートラスト株式会社（以下、「サイバートラスト」という。）は、本項に記載する SSL/TLS 用のルート認証局および下位認証局を運営し、パブリックに信頼される SSL/TLS サーバー証明書を加入者に発行する。なお、SecureSign RootCA11 の下位認証局は Technically Constrained 認証局となる。ルート認証局および下位認証局は、特段の規定がない限り、以下、「本認証局」と総称する。各下位認証局からは、加入者に対し「EV SSL/TLS サーバー証明書」、「OV SSL/TLS サーバー証明書」（以下、特段の規定がない限り、総称して以下、「証明書」という。）を発行する。なお、証明書において、Domain Validated (DV)および Individual Validated (IV)の加入者証明書を発行しない。パブリックに信頼された証明書を発行するためにサイバートラストが運営するサービスを、以下「本サービス」という。各ルート認証局は下表より構成され、各下位認証局の証明書はサイバートラストが運営するルート認証局のいずれかによって発行される。なお、失効済みの認証局は Appendix D に記載する。ルート認証局 | 認証局名称 | SecureSign RootCA11 | | :------------------------- | :--------------------------------------------------------------- | | 認証局開局日 | 2014 年 6 月 30 日 | | 認証局証明書のシリアル番号 | 01 | | 認証局証明書の有効期間 | 2009 年 4 月 8 日～ 2029 年 4 月 8 日 | | 署名方式 | SHA1 with RSA | | 認証局の鍵サイズ | 2048 bit | | フィンガープリント(SHA1) | 3BC49F48F8F373A09C1EBDF85BB1C365C7D811B3 | | フィンガープリント(SHA256) | BF0FEEFB9E3A581AD5F9E9DB7589985743D261085C4D314F6F5D7259AA421612 | | 認証局名称 | SecureSign Root CA12 | | :--------------------------- | :--------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 66F9C7C1AFECC251B4ED5397E6E682C32B1C9016 | | 認証局証明書の有効期間 | 2020 年 4 月 8 日～ 2040 年 4 月 8 日 | | 署名方式 | SHA256 with RSA | | 認証局の鍵サイズ | 2048 bit | | フィンガープリント（SHA1） | 7A221E3DDE1B06AC9EC84770168E3CE5F76B06F4 | | フィンガープリント（SHA256） | 3F034BB5704D44B2D08545A02057DE93EBF3905FCE721ACBC730C06DDAEE904E | | 認証局名称 | SecureSign Root CA14 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 64DB5A0C204EE8D72977C85027A25A27DD2DF2CB | | 認証局証明書の有効期間 | 2020 年 4 月 8 日～ 2045 年 4 月 8 日 | | 署名方式 | SHA384 with RSA | | 認証局の鍵サイズ | 4096 bit | | フィンガープリント（SHA1） | DD50C0F779B3642E74A2B89D9FD340DDBBF0F24F | | フィンガープリント（SHA256） | 4B009C1034494F9AB56BBA3BA1D62731FC4D20D8955ADCEC10A925607261E338 | | 認証局名称 | SecureSign Root CA15 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 1615C7C3D849A7BE690C8A88EDF070F9DDB73E87 | | 認証局証明書の有効期間 | 2020 年 4 月 8 日～ 2045 年 4 月 8 日 | | 署名方式 | ECDSA with SHA384 | | 認証局の鍵サイズ | 384 bit | | フィンガープリント（SHA1） | CBBA83C8C15A5DF1F9736FCAD7EF2813064A077D | | フィンガープリント（SHA256） | E778F0F095FE843729CD1A0082179E5314A9C291442805E1FB1D8FB6B8886C3A |
下位認証局 | 認証局名称 | Cybertrust Japan SureServer EV CA G7 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 2C77F85B12969E757EAC8921C7155089AE35F418 | | 認証局証明書の有効期間 | 2020 年 6 月 22 日～ 2030 年 6 月 22 日 | | 署名方式 | SHA256 with RSA | | 認証局の鍵サイズ | 2048 bit | | フィンガープリント（SHA1） | 99865D3428D04DEF0D3FA29DEFBD5905A0B040A7 | | フィンガープリント（SHA256） | 76648FBC40CC4164CEA02422A09EB4EAD29C67F5E7DD74F691B7FA08043472C5 | | 発行する証明書 | EV SSL/TLS サーバー証明書 | | ルート認証局 | SecureSign Root CA12 | | 認証局名称 | Cybertrust Japan SureServer EV CA G8 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 7CA3593373BD43AA87416AB0439DAC5D0361D803 | | 認証局証明書の有効期間 | 2020 年 6 月 22 日～ 2030 年 6 月 22 日 | | 署名方式 | ECDSA with SHA384 | | 認証局の鍵サイズ | 384 bit | | フィンガープリント（SHA1） | FBF4B414FBA71E4F10AA57CF8C47697489D59ED1 | | フィンガープリント（SHA256） | 70C4002E0DF2FF51E691654903BE742D09D5A74A84B15B68FBCDA320FBF3DC6B | | 発行する証明書 | EV SSL/TLS サーバー証明書 | | ルート認証局 | SecureSign Root CA15 | | 認証局名称 | Cybertrust Japan SureServer EV CA G9 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 756AA35ABA8847DD5103C33A37B168FA13A4F715 | | 認証局証明書の有効期間 | 2020 年 6 月 22 日～ 2030 年 6 月 22 日 | | 署名方式 | SHA384 with RSA | | 認証局の鍵サイズ | 4096 bit | | フィンガープリント（SHA1） | EDEC2820E5CD08CB234D3B2417FE0DCDB51D238B | | フィンガープリント（SHA256） | 93397E182492A7E7C582BADFE04348E6FA985CBA19AFDE16FD740FF03857367C | | 発行する証明書 | EV SSL/TLS サーバー証明書 | | ルート認証局 | SecureSign Root CA14 | | 認証局名称 | Cybertrust Japan SureServer CA G7 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 167DDD4E7ABD348B6A105BC9CA24ACE745F2B6CB | | 認証局証明書の有効期間 | 2020 年 6 月 22 日～ 2030 年 6 月 22 日 | | 署名方式 | SHA256 with RSA | | 認証局の鍵サイズ | 2048 bit | | フィンガープリント（SHA1） | F9DDEC1E1FCF62CE4FAD04EDC44109A9504F4784 | | フィンガープリント（SHA256） | A2E2C3D73CFF96451325712E212FA15C40FD4F2C3F143C1BB619385365304C02 | | 発行する証明書 | OV SSL/TLS サーバー証明書 | | ルート認証局 | SecureSign Root CA12 | | 認証局名称 | Cybertrust Japan SureServer CA G8 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 4D8247384ADF541F88340F4928553224B6C48FE2 | | 認証局証明書の有効期間 | 2020 年 6 月 22 日～ 2030 年 6 月 22 日 | | 署名方式 | ECDSA with SHA384 | | 認証局の鍵サイズ | 384 bit | | フィンガープリント（SHA1） | A07043D2965389E4EF90EBEAEA319996A9877819 | | フィンガープリント（SHA256） | 93D931D5F95411998705B148532F4E16FBCF00F3318DFF9B6A0765ED749C8FD0 | | 発行する証明書 | OV SSL/TLS サーバー証明書 | | ルート認証局 | SecureSign Root CA15 |
下位認証局（Technically Constrained） | 認証局名称 | JCSI TLSSign Public CA | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 7540ACF59D071D7A7ECAFC2FB965A7D11415CD53 | | 認証局証明書の有効期間 | 2018 年 10 月 11 日～ 2029 年 8 月 8 日 | | 署名方式 | SHA256 with RSA | | 認証局の鍵サイズ | 2048 bit | | フィンガープリント（SHA1） | 5E2ED0EDD013B5EF5EB2203FAAB6F876452FCEC2 | | フィンガープリント（SHA256） | 9253BFB668F3E743A525E48B5F750A8A66035F806297C25F8134DC8AC9635BD8 | | 発行する証明書 | OV SSL/TLS サーバー証明書 | | ルート認証局 | SecureSign RootCA11（JCSI ルート認証局） | サイバートラストは、認証局の運営上、以下の要件および法令等に準拠する。サイバートラストサーバー証明書ポリシー/認証局運用規程（本書。以下、「本 CP/CPS」という。） CA/Browser Forum が認証局に課す要件 - https://cabforum.org/working-groups/server/baseline-requirements/documents/ にて公開される"Baseline Requirements for the Issuance and Management of Publicly-Trusted TLS Server Certificates"（以下、「BR」という。） - https://cabforum.org/working-groups/server/extended-validation/documents/ にて公開される"Guidelines for the Issuance and Management of Extended Validation Certificates"（以下、「EV ガイドライン」という。） - https://cabforum.org/network-security-requirements/ にて公開される"Network and Certificate System Security Requirements" ルート認証局証明書が登録されるアプリケーションソフトウェアのサプライヤーが認証局に課す要件 - にて公開される"Mozilla Root Store Policy" - にて公開される"Program Requirements - Microsoft Trusted Root Program" - / にて公開される"Chrome Root Program Policy" - https://www.apple.com/certificateauthority/ca_program.html にて公開される"Apple Root Certificate Program" その他日本国内に設置される認証局の業務上関連する日本国法サイバートラストは、CA/Browser Forum がhttps://www.cabforum.orgで公開する上記の要件、およびルート認証局証明書が登録されるアプリケーションソフトウェアのサプライヤーが認証局に課す上記の要件の最新バージョンに準拠する。本CP/CPSと要件等との間に齟齬がある場合には、要件等が優先される。サイバートラストの本 CP/CPS および関連文書の最新バージョンは、サイバートラストのリポジトリページにて確認できる。本 CP/CPS は、認証局を運営するための要件と証明書を発行するための要件を規定する。要件には、認証局の義務、加入者の義務、信頼当事者の義務を含む。また、各種要件を本 CP/CPS に明記する上で、サイバートラストは、IETF PKIX ワーキンググループが定める RFC3647「Certificate Policy and Certification Practices Framework」を採用する。RFC3647 は、CP/CPS のフレームワークを定めた国際的ガイドラインである。RFC3647 のフレームワークに準じて設けた本 CP/CPS の各規定において、認証局が実行しない事項については、「該当せず」と記載する。また、関連する要件を課さない場合は、「規定せず」と記載する。 ## 1.2 文書名と識別本 CP/CPS の正式名称は、「サイバートラストサーバー証明書ポリシー/認証局運用規程」とする。本 CP/CPS に割り当てられる固有のオブジェクト識別子（OID）は以下の通り。 | 文書 | OID | | :------------------------------------------------------------: | :------------------: | | サイバートラストサーバー証明書ポリシー/認証局運用規程(CP/CPS) | 1.2.392.200081.1.32 | ## 1.3 PKI の関係者 Cybertrust Japan Policy Authority（以下、「CTJ PA」という。）は、本 CP/CPS のポリシーを決定し、本 CP/CPS の「5.2.1 信頼される役割」に定める認証局責任者を任命する。本認証局が発行する証明書に関係する当事者を以下に定める。各当事者は、本 CP/CPS が定める義務を遵守するものとする。 ### 1.3.1 認証局本 CP/CPS「1.1 概要」に定める認証局をいう。認証局は、登録局および発行局から構成される。各認証局は、認証局責任者が総括する。 #### 1.3.1.1 発行局ルート認証局の発行局はサイバートラストが運営し、ルート認証局の登録局の指示に基づき、下位認証局証明書の発行または失効を行う。また、本 CP/CPS に基づき、ルート認証局の秘密鍵を管理する。下位認証局の発行局もまた、本サービスにおいてサイバートラストによって運営され、下位認証局の登録局の指示に基づき、証明書の発行または失効を行う。また、本 CP/CPS に基づき、下位認証局の秘密鍵を管理する。 ### 1.3.2 登録局下位認証局の登録局はサイバートラストが運営し、証明書の申請を受け付け、本 CP/CPS に基づき申請内容の審査を行う。同登録局は審査結果に基づき、対応する発行局に対し、証明書の発行もしくは失効の処理の指示、または申請の棄却をする。本認証局は、ドメイン名または電子メールアドレスの審査を含む一切の登録局業務について、第三者への委託を認めない。 #### 1.3.2.1 エンタープライズ登録局該当せず。 ### 1.3.3 加入者加入者は、下位認証局に証明書を申請し、本 CP/CPS、および加入契約書に基づき証明書を利用する組織である。加入者の証明書の申請に責任を有する者を申請責任者（EV SSL/TLS サーバー証明書の場合、申請責任者は EV ガイドラインで定義される「Certificate approver」ならびに「Contract signer」の権限を持つ）という。加入者は、申請責任者を加入者の内部の者から選任しなければならない。加入者において下位認証局に対し証明書に関する申請を行うことができる者は、申請責任者または申請責任者より当該申請についての権限を付与された手続き担当者（EV SSL/TLS サーバー証明書の場合、手続き担当者は EV ガイドラインで定義される「Certificate requestor」に該当する）に限られる。手続き担当者については、加入者の内部または外部の者から選任することができる。外部の者から手続き担当者を選任する場合、個人であるか組織であるかを問わない。なお、加入者の外部の者から選任された手続き担当者については、加入契約書その他の規程において「申請代行者」と定義することがある。認証局は、自らの証明書を申請、利用する場合には加入者としての義務を負う。 ### 1.3.4 信頼当事者信頼当事者は、本認証局および加入者の証明書の有効性について検証を行い、自らの判断で認証局および加入者の証明書を信頼する組織または個人である。 ### 1.3.5 その他の関係者その他の関係者は、アプリケーションソフトウェアサプライヤー、ならびに監査人などが含まれる。 ## 1.4 証明書の用途 ### 1.4.1 適切な証明書の用途証明書の用途は下表に定める通りとする。認証局および加入者の各証明書についての詳細は Appendix C にその詳細を定める。 | 証明書種別 | 用途 | | ------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------- | | EV SSL/TLS サーバー証明書 | EV ガイドラインに従い発行されるサーバー認証（証明書を利用する法人の証明およびその法人が当該 FQDN を使用する権限が在ることの証明）の証明書。 | | OV SSL/TLS サーバー証明書 | BR 従い発行されるサーバー認証（証明書を利用する法人の証明およびその法人が当該 FQDN を使用する権限が在ることの証明）の証明書。 | | ルート証明書 | 下位認証局証明書を発行するルート認証局の証明書
下位認証局証明書の失効情報を提供する、OCSP レスポンダーのための証明書を発行する。 | | 下位認証局証明書 | 加入者に対し証明書を発行する下位認証局の証明書。
証明書の失効情報を提供する、OCSP レスポンダーのための証明書を発行する。 | | OCSP レスポンダー証明書 | 失効情報を提供する OCSP レスポンスに電子署名を施す OCSP レスポンダーで使用する証明書。 | ルート認証局は、第三者に対して下位認証局証明書の発行をしない。各ルート認証局は、ルート認証局責任者の許可により、関連する下位認証局証明書の失効情報を提供する際に、OCSP レスポンスに電子署名を付け加えるための OCSP レスポンダー証明書を発行する場合がある。さらに各下位認証局は、下位認証局責任者の許可により、関連する加入者証明書の失効情報を提供する際に、OCSP レスポンスに電子署名を付け加えるための OCSP レスポンダー証明書を発行する場合がある。 ### 1.4.2 禁止される証明書の用途本認証局は、本 CP/CPS「1.4.1 適切な証明書の用途」に定める用途以外での利用を禁止する。また、証明書は、暗号化通信の傍受（例：中間者攻撃）を目的に用いてはならない。サイバートラストが発行する証明書は、サブジェクトが信頼に値すること、そのビジネスで評判が高いこと、取引を行うのに安全であること、法律を遵守していること、または証明書がインストールされている機器に欠陥、マルウェアおよびウイルスなどが無いことを保証するものではない。本認証局は、単に証明書が発行される前に申請情報の是非が確認および処理されたことを証明する。 ## 1.5 ポリシー管理 ### 1.5.1 文書を管理する組織本 CP/CPS および加入契約書は、全ての認証局を運営するサイバートラストにより管理される。 ### 1.5.2 連絡窓口サイバートラストは、提供するサービスおよび本 CP/CPS 等に関する照会を以下の連絡先で受け付ける。

連絡先

サイバートラスト株式会社総合受付

住所：〒060-0807　札幌市北区北7条西1丁目1-2 SE札幌ビル13階

電話：0120-957-975または011-708-5283

受付時間：月曜日～金曜日 9:00～18:00（祝日およびサイバートラストのWebサイトに掲載の年末年始、指定日を除く）

お問合せおよび苦情：以下のとおり

内容

宛先

発行のための申請方法および技術に関するお問合せ
本CP/CPS等に関するお問合せ

受付日：月曜日～金曜日（祝日およびサイバートラストのWebサイトに掲載の年末年始、指定日を除く）

受付時間：9:00～18:00（日本時間）

servicedesk @cybertrust.ne.jp

失効のための申請および申請方法に関するお問合せ
証明書に問題が生じた場合や不正な証明書を発見された場合のお問合せ
その他苦情の連絡

受付時間：24時間365日

evc-report@cybertrust.ne.jp

（※）

（※）従来、SecureSign RootCA11 に関わる問合せ先であった jcsi-r@cybertrust.ne.jp についても、受付を継続する。

### 1.5.3 CP/CPS の適合性を決定する者本 CP/CPS の適合性の評価・決定は、CTJ PA によって行われる。 ### 1.5.4 CP/CPS の承認手続き本 CP/CPS「1.5.3 CP/CPS の適合性を決定する者」に記載の適合性は、外部監査を経て、CTJ PA により承認される。 ## 1.6 定義と略語本 CP/CPS の Appendix B に規定する。 --- # 2\. 公開とリポジトリの責任 ## 2.1 リポジトリ本認証局のリポジトリは、サイバートラストが管理する。以下の情報を https://www.cybertrust.ne.jp/ssl/repository_rt/index.html 上に 24 時間 365 日に渡り公開する。 1. 本 CP/CPS 2. 加入契約書 3. その他、本認証局のサービスに関わる約款等（以下、「関連諸規程」という。） ## 2.2 証明情報の公開サイバートラストは、次の情報を 24 時間 365 日に渡りリポジトリで公開する。 1. 本認証局が発行する認証局証明書の情報を以下に公開する | ルート認証局 | URL | | -------------------- | -------------------------------------------------------------------------- | | SecureSign RootCA11 | http://rtcrl.managedpki.ne.jp/SecureSignAD/SecureSignRootCA11/SSAD-rca.crt | | SecureSign Root CA12 | http://rtcrl.cybertrust.ne.jp/SecureSign/rtca12/rtca12.crt | | SecureSign Root CA14 | http://rtcrl.cybertrust.ne.jp/SecureSign/rtca14/rtca14.crt | | SecureSign Root CA15 | http://rtcrl.cybertrust.ne.jp/SecureSign/rtca15/rtca15.crt | | 下位認証局 | URL | | ------------------------------------ | ----------------------------------------------------------------------- | | JCSI TLSSign Public CA | http://rtcrl.managedpki.ne.jp/SecureSignAD/JCSITLSSignPublicCA/cdp.crl | | Cybertrust Japan SureServer EV CA G7 | http://evcrl.cybertrust.ne.jp/SureServer/evcag7/evcag7.crt | | Cybertrust Japan SureServer EV CA G8 | http://evcrl.cybertrust.ne.jp/SureServer/evcag8/evcag8.crt | | Cybertrust Japan SureServer EV CA G9 | http://evcrl.cybertrust.ne.jp/SureServer/evcag9/evcag9.crt | | Cybertrust Japan SureServer CA G7 | http://sscrl.cybertrust.ne.jp/SureServer/ovcag7/ovcag7.crt | | Cybertrust Japan SureServer CA G8 | http://sscrl.cybertrust.ne.jp/SureServer/ovcag8/ovcag8.crt |
2. 本認証局が発行する CRL 情報を以下に公開する | ルート認証局 | URL | | -------------------- | --------------------------------------------------------------------- | | SecureSign RootCA11 | http://rtcrl.managedpki.ne.jp/SecureSignAD/SecureSignRootCA11/cdp.crl | | SecureSign Root CA12 | http://rtcrl.cybertrust.ne.jp/SecureSign/rtca12/cdp.crl | | SecureSign Root CA14 | http://rtcrl.cybertrust.ne.jp/SecureSign/rtca14/cdp.crl | | SecureSign Root CA15 | http://rtcrl.cybertrust.ne.jp/SecureSign/rtca15/cdp.crl | | 下位認証局 | URL | | ------------------------------------ | ----------------------------------------------------------------------- | | JCSI TLSSign Public CA | http://rtcrl.managedpki.ne.jp/SecureSignAD/JCSITLSSignPublicCA/cdp.crl | | Cybertrust Japan SureServer EV CA G7 | http://evcrl.cybertrust.ne.jp/SureServer/evcag7/cdp.crl | | Cybertrust Japan SureServer EV CA G8 | http://evcrl.cybertrust.ne.jp/SureServer/evcag8/cdp.crl | | Cybertrust Japan SureServer EV CA G9 | http://evcrl.cybertrust.ne.jp/SureServer/evcag9/cdp.crl | | Cybertrust Japan SureServer CA G7 | http://sscrl.cybertrust.ne.jp/SureServer/ovcag7/cdp.crl | | Cybertrust Japan SureServer CA G8 | http://sscrl.cybertrust.ne.jp/SureServer/ovcag8/cdp.crl |
3. 各ルート認証局にチェーンする証明書のテストサイトを以下に公開する | ルート認証局 | URL | | ------------------------ | ------------------------------------------------------------------------------------------------------------------------- | | SecureSign RootCA11（※） | https://jcsi-expired.managedpki.ne.jp
https://jcsi-revoke.managedpki.ne.jp
https://jcsi-valid.managedpki.ne.jp | | SecureSign Root CA12 | https://ss12-expired.managedpki.ne.jp
https://ss12-revoked.managedpki.ne.jp
https://ss12-valid.managedpki.ne.jp | | SecureSign Root CA14 | https://ss14-expired.managedpki.ne.jp
https://ss14-revoked.managedpki.ne.jp
https://ss14-valid.managedpki.ne.jp | | SecureSign Root CA15 | https://ss15-expired.managedpki.ne.jp
https://ss15-revoked.managedpki.ne.jp
https://ss15-valid.managedpki.ne.jp | ## 2.3 公開の時期と頻度サイバートラストが公開する情報について、公開の時期と頻度は以下のとおりである。ただし、リポジトリのメンテナンス等が生じる場合は、この限りでないものとするが、CRL は 24 時間公開される。 1. 本 CP/CPS 各証明書の加入契約書、関連諸規程については、改訂の都度、公開される。 2. CRL は、CP/CPS「4.9.7 CRL 発行周期」で規定された周期で更新を行い、公開される。 3. 下位認証局の証明書については、少なくとも有効期間中は公開される。 4. ルート認証局の証明書は、少なくともルート認証局の運用期間中は公開される。 ## 2.4 リポジトリに対するアクセスコントロール本認証局は、リポジトリを読み取り専用の方法で公開するものとする。 --- # 3\. 識別および認証 ## 3.1 名前の決定 ### 3.1.1 名称のタイプ証明書の Distinguished Name（以下、「DN」という。）および Subject Alternative Name は、本 CP/CPS「1.1 概要」で言及の要件の関連条項に準拠する。加入者は、証明書の中の X.500 識別名 DN により識別される。 ### 3.1.2 名前が意味を持つことの必要性 | DN 項目 | 意味 | | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | コモンネーム（Common Name） | 証明書を利用するサーバーまたはネットワーク機器の完全なホスト名（FQDN/IP アドレス）
注意：EV SSL/TLS サーバー証明書は、IP アドレス、ならびにアスタリスク（\*）で始まるワイルドカードドメイン名をコモンネームに含まない | | 組織名（Organization） | 加入者の組織の名称 | | 市区町村名（Locality） | 事業所住所の市区町村名 | | 都道府県名（State or Province） | 事業所住所の都道府県名 | | 国名（Country） | 事業所住所の国コード | | ビジネスカテゴリ（BusinessCategory）
※EV SSL/TLS サーバー証明書のみ | EV ガイドラインで定められた法人の形態を識別する情報
民間企業：Private Organization
行政機関：Government Entity
（事業体：Business Entity、非営利団体：Non-Commercial Entity は発行対象としない） | | シリアル番号（Serial Number）
※EV SSL/TLS サーバー証明書のみ | 民間企業の場合は会社法人等番号
行政機関の場合は設立年月日または「The Subject is a Government Entity」と表記 | | 法人設立/登録管轄地（都道府県名）（Jurisdiction of Incorporation State or Province）
※EV SSL/TLS サーバー証明書で加入者の設立/登録が市区町村ならびに都道府県の場合のみ | 法人設立/登録管轄地の都道府県名 | | 法人設立/登録管轄地（市区町村名）（Jurisdiction of Incorporation Locality）
※EV SSL/TLS サーバー証明書で加入者の設立/登録が市区町村の場合のみ | 法人設立/登録管轄地の市区町村名 | | 法人設立/登録管轄地（国名）（Jurisdiction of Incorporation Country）
※EV SSL/TLS サーバー証明書のみ | 法人設立/登録管轄地の国コード | 証明書の Subject Alternative Name 拡張にある dNSName、iPAddress は、それぞれ以下の意味を持つ。 | Subject Alternative Name 項目 | 意味 | | ----------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | dNSName | 証明書を利用するサーバーまたはネットワーク機器の完全なホスト名（FQDN）
注意：EV SSL/TLS サーバー証明書は、アスタリスク（\*）で始まるワイルドカードドメイン名をサブジェクト代替名に含まない | | iPAddress | 証明書を利用するサーバーまたはネットワーク機器の IP アドレス
注意：EV SSL/TLS サーバー証明書は、IP アドレスをサブジェクト代替名に含まない | ### 3.1.3 加入者の匿名・仮名について下位認証局は加入者の匿名または仮名での証明書を許容しない。 ### 3.1.4 様々な名称形式を解釈するためのルール本認証局が発行する証明書の DN の形式を解釈するためのルールは、X.500 に準ずる。 ### 3.1.5 名称の一意性ルート認証局が発行する下位認証局の証明書のコモンネームは、ルート認証局ごとに一意な値とする。下位認証局が発行する証明書は、DN により加入者を一意に識別する。 ### 3.1.6 商標等の認識、認証および役割下位認証局は、加入者の証明書の発行に際し、著作権、営業秘密、商標権、実用新案権、特許権その他の知的財産権（特許その他の知的財産を受ける権利を含むがこれらに限られない。以下、単に「知的財産権」という。）については認証しない。 ## 3.2 初回の本人性確認下位認証局は、EV SSL/TLS サーバー証明書を発行する前に subject:jurisdictionLocalityName (OID: 1.3.6.1.4.1.311.60.2.1.1)、subject:jurisdictionStateOrProvinceName (OID: 1.3.6.1.4.1.311.60.2.1.2)、subject:jursidictionCountryName (OID: 1.3.6.1.4.1.311.60.2.1.3)に含まれる申請組織の設立/登録管轄地を、該当する法人設立/登録機関のデータにより確認する。申請組織が民間組織の場合、Subject:serialNumber (OID: 2.5.4.5)に含まれる値については、該当する法人設立/登録機関が公開するデータを用いて、同法人設立/登録機関が申請組織に割り当てた登録番号、または設立/登録日を確認する。申請組織が行政機関の場合、Subject:serialNumber (OID: 2.5.4.5)には、「The Subject is a Government Entity」の文字を含めるものとする。なお、下位認証局が法人設立/登録管轄地の確認に使用する法人設立/登録機関のリストをhttps://www.cybertrust.ne.jp/ssl/repository/Jurisdiction.pdf で公開する。 ### 3.2.1 秘密鍵の所有を確認する方法加入者からの申請情報の一部である証明書発行要求（以下、「CSR」という。）には、公開鍵および公開鍵に対応する秘密鍵による電子署名が含まれる。下位認証局は、CSR に含まれる公開鍵を使用して電子署名を検証することで、加入者の秘密鍵で署名されていることを確認し、また、加入者が秘密鍵を所有していると判断する。 ### 3.2.2 組織の認証本認証局は、本 CP/CPS「3.2.2.4 ドメインの承認または制御の審査」、「3.2.2.5 IP アドレスの認証」および「3.2.2.8 CAA レコード」の確認のために DNS サーバーから取得する全ての情報を、権威ネームサーバーへの問い合わせにより取得し、本認証局の監査範囲外で運用される再帰リゾルバーを使用しない。ドメイン連絡先の全ての連絡先情報は、WHOIS レコード、DNS SOA レコード、またはドメイン名登録者への直接の連絡により取得し、本認証局の監査範囲外で運用される第三者のサービスを利用しない。IP アドレス連絡先の全ての連絡先情報は、IP アドレス登録機関への直接の連絡により取得し、本認証局の監査範囲外で運用されるそれ以外の第三者のサービスを利用しない。 #### 3.2.2.1 身元の確認下位認証局は、申請された証明書を発行する前に、証明書に含まれる組織の識別情報を、証明書種別ごとに適切な審査手順に従い確認する。下位認証局は、自然人を証明書の発行対象としない。各審査方法の詳細については Appendix A を参照。 #### 3.2.2.2 DBA/Tradename OV SSL/TLS サーバー証明書の場合、下位認証局は、加入者の証明書に含まれる組織名が DBA/Tradename の場合、BR3.2.2.2 項に従い確認する。審査方法の詳細については Appendix A を参照。 EV SSL/TLS サーバー証明書の場合、下位認証局は、加入者の証明書に DBA/Tradename を含めることを認めない。ただし、SecureSign RootCA11 認証局下位認証局は、加入者の証明書に DBA/Tradename を含めることを認めない。 #### 3.2.2.3 Country の確認下位認証局は、証明書を発行する前に、加入者の証明書に含まれる Country を証明書種別ごとに適切な審査手順に従い確認する。各審査方法の詳細については Appendix A を参照。 #### 3.2.2.4 ドメインの承認または制御の審査下位認証局は証明書を発行する前に、加入者の証明書に含まれるドメイン名の承認または制御を証明書種別ごとに適切な審査手順に従い確認する。ただし、下位認証局は「.onion」のラベルで終わる FQDN または電子メールアドレスの証明書を発行しない。審査方法の詳細については Appendix A を参照。注意：SecureSign RootCA11 認証局下認証局発行証明書の FQDN は subjectAltName 拡張子にある dNSName を使用して加入者の証明書に記載されるか、ネーム制約拡張子内の許可されたサブツリーにある dNSName によって下位認証局証明書内に記載される。なお、本認証局は、ドメイン名の確認を第三者に委託しない。 #### 3.2.2.5 IP アドレスの認証本項は、OV SSL/TLS サーバー証明書のみに適用する。下位認証局は、証明書を発行する前に、加入者の IP アドレスに対する制御について審査する。審査方法の詳細については Appendix A を参照。 SecureSign Root CA11 下位認証局は、IP アドレスを含む加入者の証明書を配下に発行することを認めず、下位認証局証明書の名前制約に IP アドレスを指定することを認めない。 #### 3.2.2.6 ワイルドカードドメインの認証本項は、OV SSL/TLS サーバー証明書のみに適用する。下位認証局は、アスタリスク（\*）で始まるワイルドカードドメイン名が、コモンネームおよび subjectAltName の dNSName に含まれる証明書を発行する前に、ワイルドカードドメイン名の FQDN 部分が「レジストリで管理されている」または「パブリックサフィックス」かどうかを判断する（例: 「\* .com」、「\* .co.jp」、詳細は RFC 6454 8.2 節を参照）。「レジストリで管理されている」の判断は、BR 3.2.2.6 項に従うものとする。下位認証局は、ワイルドカードドメイン名の FQDN 部分が「レジストリで管理されている」または「パブリックサフィックス」である場合、ドメインネームスペース全体の正当な管理を確認していない限り、発行を拒否する。（例：下位認証局は「\*.co.jp」または「\*.local」を発行しないが、「\*.example.com」を Example Co. に発行できる）。 SecureSign Root CA11 下位認証局は、ワイルドカードドメイン名を含む加入者の証明書を配下に発行することを認めず、下位認証局証明書の名前制約にワイルドカードドメイン名を指定することを認めない。 #### 3.2.2.7 データソースの正確度下位認証局は、信頼できるデータソースとしてデータソースを使用する前に、ソースの信頼性、正確性、および変更や改ざんに対する耐性を評価する。 OV SSL/TLS サーバー証明書は、BR3.2.2.7 項に従い、データソースの信頼性を評価する。 EV SSL/TLS サーバー証明書は、EV ガイドライン 3.2.2.11 項に従い、データソースの信頼性を評価する。本認証局、サイバートラスト、またはその提携企業により管理されているデータベースは、本認証局とは独立性が担保されていることを使用の条件とし、本認証局の審査を通過する目的で情報を収集することがデータベースの第一の目的である場合、当該データベースを信頼できるデータソースとして採用しない。 #### 3.2.2.8 CAA レコード下位認証局は、subjectAltName 内の各 dNSName について RFC8659（DNS Certification Authority Authorization (CAA) Resource Record）ならびに BR3.2.2.8 項に従い、CAA レコードを取得、および処理する。また、証明書を発行する下位認証局は、 2024 年 9 月 15 日以降、BR3.2.2.9 項に従い、証明書を発行する前に remote Network Perspective を使用して、CAA レコードを取得、および処理する。Primary Network Perspective による確認を裏付ける remote Network Perspective の CAA の確認応答は、バイト単位で同一であるかどうかによらず、発行許可として扱う。さらに、いずれかまたは両方のパースペクティブにおいて CAA レコードルックアップの失敗が発生し、かつ、その失敗が本項で定める許容可能な失敗に該当する場合、下位認証局は remote Network Perspective の確認結果を裏付けとみなす場合がある。 CAA レコードの処理において、下位認証局は RFC8659 の指定に基づき issue、issuewild、および iodef プロパティタグを処理する。下位認証局は、このクリティカルフラグが設定された認識されないプロパティタグに遭遇した場合、証明書を発行しない。下位認証局は証明書の発行にあたり、CAA レコードの TTL、または 8 時間のいずれか長い時間内に CAA を確認する。ただし、Precertificate を発行時に CAA を確認し、少なくとも 2 つの公開ログへ記録された場合、証明書に対する CAA の確認を省略する。 CAA レコードルックアップの失敗が以下の全ての条件に該当する場合、下位認証局は発行許可として扱うことができるものとする。 - 失敗の原因が下位認証局のインフラストラクチャの外部にある場合 - ルックアップが少なくとも 1 回再試行されている場合 - ドメインのゾーンに、ICANN ルートへの DNSSEC 検証チェーンが無い場合下位認証局は、CAA レコードにより阻止された可能性のある発行について CA/Browser Forum にフィードバックを提供するため、詳細に文書化する。また、CAA iodef レコードで規定される連絡先への報告を行わない場合がある。下位認証局は、CAA レコード（issue/issuewild）に本 CP/CPS「4.2.1 本人性確認と認証業務の実行」で指定した値が含まれる場合、証明書の発行を許可する認証局として指定されたものと認識する。下位認証局は証明書の発行にあたり、CAA レコードの TTL、または 8 時間のいずれか長い時間内に CAA を確認する。証明書に複数の電子メールアドレスが含まれている場合、下位認証局は電子メールアドレスごとに CAA レコードを取得、および処理する。下位認証局は、issuemail プロパティタグに含まれる値が、本 CP/CPS「4.2.1 本人性確認と認証業務の実行」で指定する値と一致していると判断しない限り、証明書を発行しない。下位認証局は、CAA 処理に従って行われた全ての動作をログに記録する。 CAA レコードルックアップの失敗が以下の全ての条件に該当する場合、下位認証局は発行許可として扱うことができるものとする。 - 失敗の原因が下位認証局のインフラストラクチャの外部にある場合 - ルックアップが少なくとも 1 回再試行されている場合 - ドメインのゾーンに、ICANN ルートへの DNSSEC 検証チェーンがない場合ただし、SecureSign RootCA11 認証局配下は、Technically Constrained Subordinate CA ではない下位認証局を持たず、BR 3.2.2.8. CAA Records に従い、Technically Constrained Subordinate CA についてはオプション扱いとなる CAA レコードの確認を行わない。 #### 3.2.2.9 Multi-Perspective Issuance Corroboration 証明書を発行する下位認証局(SecureSign Root CA11 認証局は除く)は、2024 年 9 月 15 日以降、BR3.2.2.9 項に従い、Multi-Perspective Issuance Corroboration を実装する。下位認証局は、証明書を発行する前に BR3.2.2.9 項に定められるクォーラム要件に従い、少なくとも 2 つ以上の remote Network Perspective を使用して以下を確認するものとする。 - 本 CP/CPS「3.2.2.4 ドメインの承認または制御の審査」、および「3.2.2.5 IP アドレスの認証」に定める審査方法で使用する、ランダム値、IP アドレス、または連絡先情報（E-mail アドレスまたは電話番号） - 本 CP/CPS「3.2.2.8 CAA レコード」に定める、申請されたドメイン名に対して証明書を発行する下位認証局の権限下位認証局は、CAA レコードのクォーラム要件に準拠した裏付けとなる審査結果を最大 398 日間再利用できるものとする。証明書の発行後、同一の加入者が同一ドメイン名またはそのサブドメイン名でその後の証明書申請をした場合においては、remote Network Perspective による CAA レコードの取得、および処理を最大 398 日間省略できるものとする。 #### 3.2.2.10 DNS CAA Contact へのメール本認証局は BR 3.2.2.4.13 で規定される手法を使用しない。 #### 3.2.2.11 DNS TXT Contact へのメール本認証局は BR 3.2.2.4.14 で規定される手法を使用しない。 #### 3.2.2.12 Domain Contact への電話連絡本認証局は、ドメイン連絡先(Domain Contact) の電話番号に電話して、加入者の FQDN に対する制御を確認し、承認ドメイン名の検証のための確認を取る。検証する各承認ドメイン名に同じ Domain Contact 電話番号がリストされており、それらにより各承認ドメイン名の確認がとれるのであれば、各電話で、複数の承認ドメイン名についての制御を確認してよい。ドメイン連絡先以外の誰かに電話がつながった場合には、本認証局はドメイン連絡先への転送を求めてもよい。ボイスメールにつながった場合には、本認証局は、ランダム値と検証中の承認ドメイン名をメッセージとして残す。本認証局は、ランダム値が返された場合に申請を承認する。認証ドメイン確認のためのランダム値は、作成から 30 日以内は有効として使用できる。注意：一度この方法を使用して FQDN の審査が行われると、下位認証局は審査済みの FQDN で終わるすべてのドメインラベルの他の FQDN に対しても加入者の証明書を発行することができる。この方法はワイルドカードドメイン名の申請にも適用できる。 #### 3.2.2.13 Phone Contact with DNS TXT Record Phone Contact 本認証局は、DNS TXT レコード記載の電話連絡先(DNS TXT Record Phone Contact) の電話番号に電話して、加入者の FQDN に対する制御を確認し、承認ドメイン名の検証のための確認を取る。検証する各承認ドメイン名に同じ DNS TXT Record Phone Contact 電話番号がリストされており、それらにより各承認ドメイン名の確認がとれるのであれば、各電話で、複数の承認ドメイン名についての制御を確認してよい。この電話番号はドメイン検証の目的で明確に記載されているため、本認証局は、故意に電話を転送させたり、また、転送を求めたりしてはならない。ボイスメールにつながった場合には、本認証局は、ランダム値と検証中の承認ドメイン名をメッセージとして残す。本認証局は、ランダム値が返された場合に申請を承認する。認証ドメイン確認のためのランダム値は、作成から 30 日以内は有効として使用できる。注意：一度この方法を使用して FQDN の審査が行われると、下位認証局は審査済みの FQDN で終わるすべてのドメインラベルの他の FQDN に対しても加入者の証明書を発行することができる。この方法はワイルドカードドメイン名の申請にも適用できる。 #### 3.2.2.14 Phone Contact with DNS CAA Phone Contact 本認証局は BR 3.2.2.4.17 で規定される手法を使用しない。 #### 3.2.2.15 合意に基づく Web サイトの変更 v2 本認証局は、リクエストトークンまたはランダム値が、ファイルの内容に含まれていることを確認することにより、加入者の FQDN に対する承認または制御について審査する。 1. リクエストトークンまたはランダム値が、ファイルの取得に使用される要求に現れてはならない。 2. HTTP リクエストを送信し、成功したステータスコードの受信（HTTP ステータスコード 2xx）を確認しなければならない。リクエストトークンまたはランダム値が含まれるファイルは、以下について審査する。 1. 承認ドメイン名の下に配置されなければならない。 2. 「/.well‐known/pki‐validation」ディレクトリ下に配置されなければならない。 3. 「HTTP」または「HTTPS」スキームにより取得されなければならない。 4. 認可されたポートを介してアクセスされなければならない。リダイレクトで確認する場合、以下について審査する。 1. リダイレクトは、HTTP プロトコル層により開始されなければならない。リダイレクトは、RFC7231 の 6.4 節に定める HTTP ステータスコード 301、302、または 307、および RFC7538 の 3 章で定める HTTP ステータスコード 308 のいずれかによらなければならない。また、リダイレクト先は RFC7231 の 7.1.2 項に定めるロケーション HTTP 応答ヘッダーの最終値でなければならない。 2. 「HTTP」または「HTTPS」スキームで表されるリソース URL へのリダイレクトでなければならない。 3. 認可されたポートを介してアクセスされるリソース URL へのリダイレクトでなければならない。ランダム値が使用される場合、以下について審査する。 1. 本認証局は、証明書の申請に対し、一意のランダム値を発行するものとする。 2. ランダム値は、ランダム値の作成日から 30 日以内の確認応答につき有効なものとする。ただし、名前制約が指定された下位認証局ではリクエストトークンを採用しないこととする。注意：この方法を使用する場合、申請された FQDN 毎の審査を行うものとし、審査済みの FQDN で終わるすべてのラベルの他の FQDN に対しても個別の審査を行わない限り証明書を発行しない。また、本方法はワイルドカードドメイン名の申請には適用しない。 #### 3.2.2.16 合意に基づく Web サイトの変更 – ACME 本認証局は BR 3.2.2.4.19 で規定される手法を使用しない。 #### 3.2.2.17 ALPN を使用した TLS 本認証局は BR 3.2.2.4.20 で規定される手法を使用しない。 ### 3.2.3 個人の認証下位認証局は、BR3.2.3 項に該当する、自然人に対して証明書を発行しない。 ### 3.2.4 確認しない加入者情報下位認証局は、BR3.2.4 項に該当する、確認しない加入者情報を証明書に含まない。 ### 3.2.5 権限の正当性確認下位認証局は、申請責任者の在職および加入者を代表して申請を行う権限を有することを証明書種別ごとに適切な審査手順に従い確認する。審査方法の詳細については Appendix A を参照。下位認証局は、加入者が証明書を要求できる個人を指定することを許可する。加入者が書面により証明書の手続き担当者を指定する場合、下位認証局は指定された以外の手続き担当者からの証明書申請を受け入れない。下位認証局は、加入者が検証済みの書面により開示を希望した場合、承認された手続き担当者のリストを加入者に提供するものとする。 ### 3.2.6 相互運用性基準本認証局は相互運用を行わない。 ## 3.3 鍵更新申請時の本人性確認と認証 ### 3.3.1 通常の鍵更新時における本人性確認と認証本 CP/CPS「3.2 初回の本人性確認」と同様の手続きにより行う。 ### 3.3.2 証明書失効後の鍵更新時における本人性確認と認証本 CP/CPS「3.2 初回の本人性確認」と同様の手続きにより行う。ただし、再発行申請の証明書情報および満了日が再発行元の証明書と一致することを確認した場合、本 CP/CPS「3.2 初回の本人性確認」の確認は行わず、それら一致の確認をもって証明書を発行する。 ## 3.4 失効申請時の本人性確認と認証下位認証局は、加入者から電子メールまたはサイバートラストの Web サイト上に通知した方法(SecureSign Root CA11 ルート下位認証局の証明書の場合は、電子メールのみ)により失効申請を受理した際、申請した者の本人確認、申請する権限を有する者であること、および失効の事由を確認する。確認方法としては、証明書の発行申請時に下位認証局へ通知された情報、および下位認証局と加入者のみが知る情報の提示を受け照合を行い、確認できた場合は失効する。手続き担当者によるサイバートラストの Web サイトからの失効申請は、同様の情報の提示、照合を受けたとみなす。ただし、下位認証局は必要に応じ、追加の確認を行う。加入者以外の者より特定の加入者の証明書に対する失効申請を受けた場合、下位認証局は失効の事由を調査し、必要に応じ当該証明書の加入者へ確認する。下位認証局は以上を確認し、当該申請の失効事由が加入契約書に定める失効対象事由に該当する場合、該当証明書を失効する。なお、失効申請のための電子メールアドレスは、本 CP/CPS「1.5.2 連絡窓口」およびサイバートラストの Web サイト上に案内する。 --- # 4\. 証明書のライフサイクル運用的要件 ## 4.1 証明書申請 ### 4.1.1 証明書の申請が認められる者下位認証局に対し証明書の申請を行うことができる者は、申請責任者、または申請責任者より申請する権限を付与された手続き担当者のみとする。申請責任者、手続き担当者の選任については、本 CP/CPS「1.3.3 加入者」の規定に定めるところによる。また、下位認証局が加入者に対して行う申請の意思確認は、申請責任者または申請責任者より権限を付与された加入者の担当者が応ずるものとする。下位認証局は、本 CP/CPS「5.5.2 記録の保管期間」に従い、フィッシング、証明書の詐欺的な利用、またはそれらの懸念があるために、過去に失効された証明書および発行を拒否した証明書申請の全てについて内部データを維持し、その情報を以降の疑わしき証明書申請を識別するために使用する。 ### 4.1.2 申請方法および責任加入者は、本 CP/CPS、加入契約書に同意の上、証明書の申請を行う。申請に際し、加入者には、真正かつ正確な情報を下位認証局へ提供する責任がある。証明書の申請方法については、証明書の種別によりサイバートラストの Web サイトに掲載するか、サイバートラストが個別に通知する。 ## 4.2 証明書申請の処理 ### 4.2.1 本人性確認と認証業務の実行本 CP/CPS「3.2 初回の本人性確認」と同様の手続きにより行う。各下位認証局の登録局が実施する。下位認証局は、本 CP/CPS「3.2 初回の本人性確認」の手続きにおいて入手した審査の文書およびデータ、または過去の審査結果を再利用できるものとする。再利用期間の詳細については Appendix A を参照。証明書の申請情報に加入者に関する全ての必要な情報が含まれていない場合、下位認証局は、残りの情報を加入者から取得するか、信頼できる独立した第三者機関のデータソースから取得し、加入者に確認するものとする。下位認証局は、証明書を発行する前に証明書種別ごとに適切な審査手順に従いハイリスクステータスを確認する。審査方法の詳細については Appendix A を参照。下位認証局は CAA レコード（issue/issuewild）に以下のいずれかの値が含まれる場合、加入者の証明書の発行を許可する認証局として指定されたものと認識する。 cybertrust.ne.jp cybertrust.co.jp ### 4.2.2 証明書申請の承認または拒否本 CP/CPS「3.2 初回の本人性確認」に規定される要件が全て確認された場合、下位認証局の登録局は申請を承認し、発行局へ証明書の発行を指示する。下位認証局は、加入者に対し事前に発行の案内をすることはない。また、本 CP/CPS「3.2 初回の本人性確認」に規定される要件が満たされない場合、下位認証局は証明書の発行の申請を棄却し、その発行を拒否する。この場合、下位認証局は、申請を行った申請責任者または手続き担当者に対し拒否の理由を通知する。なお、下位認証局は、申請のために申請責任者または手続き担当者より得た情報およびデータは返却しない。申請責任者または手続き担当者から申請の取り下げがある場合、下位認証局は当該申請を棄却する。なお、下位認証局は、申請のために申請責任者または手続き担当者より得た情報・データは返却しない。 EV SSL/TLS サーバー証明書の場合、下位認証局は、申請情報の全体的な内容に基づき、最終的な相互相関チェック、およびその他デューデリジェンスを実行する。該当する証明書の承認および発行に関連する複数の担当者の職務の分離を監査可能な状態で管理するものとする。なお、認証局は内部ドメイン名を含む証明書は発行しない。 ### 4.2.3 証明書申請の処理に要する時間各下位認証局の登録局が本 CP/CPS「4.2 証明書申請の処理」の規定に基づき申請を処理した後、発行局は速やかに証明書を発行する。 ## 4.3 証明書の発行 ### 4.3.1 認証局における証明書発行処理認証局証明書の発行は、証明書への署名操作を実行するための意図した直接のコマンド実行の権限がルート認証局から付与された担当者（発行局システムアドミニストレーターや発行局管理者）によって行われる。下位認証局の登録局は、本 CP/CPS「3.2 初回の本人性確認」に基づき申請処理を完了した後、発行局に対し加入者の証明書の発行を指示する。発行局は、証明書を発行すると同時に、本 CP/CPS「4.3.2 加入者に対する証明書の発行通知」に定める通知を加入者に対し行う。本認証局は登録局の業務を第三者に委託することはない。また、登録局が用いるアカウントを含め、証明書の発行が可能な全てのアカウントに多要素認証を適用する。本認証局は、ルート認証局から直接加入者の証明書を発行しない。下位認証局は、2024 年 9 月 15 日以降、Precertificate、またはダミーの秘密鍵を用いて署名した tbsCertificate のいずれかに対してリンティングを実施する。また、下位認証局は、業界で広く採用されているリンティングツールを使用する。なお、加入者が証明書の発行を申請したときから、サイバートラストと加入者間の加入契約が発効するものとする。 ### 4.3.2 加入者に対する証明書の発行通知下位認証局は、証明書の発行後速やかに、証明書が発行された旨と加入者が証明書を受領するために必要な手続きについて、加入者が申請時に指定した情報を基に通知する。 ## 4.4 証明書の受領 ### 4.4.1 証明書受領手続き加入者は、本 CP/CPS「4.3.2 加入者に対する証明書の発行通知」の規定に基づき、下位認証局から送信された電子メールに記録された通知内容に従い、証明書を受領する。認証局は、当該通知をもって、加入者が証明書を受領したものとみなす。 ### 4.4.2 認証局による証明書の公開本認証局の証明書については、本 CP/CPS「 2.2 証明情報の公開」に定める通り、リポジトリに公開する。また、本認証局は、CT（Certificate Transparency）ログに登録することにより、加入者の証明書を公開する。 ### 4.4.3 認証局による他の関係者に対する証明書発行の通知下位認証局は、加入者が指定した第三者に、証明書の発行を通知する場合がある。 ## 4.5 鍵ペアと証明書の利用 ### 4.5.1 加入者による秘密鍵と証明書の利用加入者は、本 CP/CPS「1.4.1 適切な証明書の用途」に定める用途に限り秘密鍵および証明書を利用するものとし、その他の用途での利用は認められない。また、加入者の秘密鍵および証明書は、加入者のみが利用できるものとし、加入者は第三者に対してその利用を許諾してはならない。なお、秘密鍵と証明書の利用に関するその他の加入者の義務は、本 CP/CPS「9.6.3 加入者の表明保証」に定める。 ### 4.5.2 信頼当事者による加入者の公開鍵と証明書の利用信頼当事者は、加入者が本 CP/CPS「1.4.1 適切な証明書の用途」に定める用途で利用する証明書について、自らの責任で証明書の有効性について確認する。なお、信頼当事者に対しての加入者の公開鍵と証明書の利用に関するその他の義務は、本 CP/CPS「9.6.4 信頼当事者の表明保証」に定める。 ## 4.6 鍵更新を伴わない証明書の更新 ### 4.6.1 鍵更新を伴わない証明書の更新に関する要件下位認証局は、加入者が利用している証明書の有効期間の満了に伴い、更新申請を受け付ける。 ### 4.6.2 更新申請が認められる者本 CP/CPS「4.1.1 証明書の申請が認められる者」に準じる。 ### 4.6.3 更新申請の手続き本 CP/CPS「4.2 証明書申請の処理」に準じる。 ### 4.6.4 更新された証明書の発行に関する通知本 CP/CPS「4.3.2 加入者に対する証明書の発行通知」に準じる。 ### 4.6.5 更新された証明書の受領手続き本 CP/CPS「4.4.1 証明書受領手続き」に準じる。 ### 4.6.6 更新された証明書の公開本 CP/CPS「4.4.2 認証局による証明書の公開」に準じる。 ### 4.6.7 認証局による他の関係者に対する証明書の発行通知本 CP/CPS「4.4.3 認証局による他の関係者に対する証明書発行の通知」に準じる。 ## 4.7 鍵更新を伴う証明書の更新 ### 4.7.1 鍵更新を伴う証明書の更新に関する要件下位認証局は、加入者が利用している証明書の有効期間の満了に伴い、更新申請を受け付ける。 ### 4.7.2 更新申請が認められる者本 CP/CPS「4.1.1 証明書の申請が認められる者」に準じる。 ### 4.7.3 更新申請の手続き本 CP/CPS「4.2 証明書申請の処理」に準じる。 ### 4.7.4 鍵更新された証明書の発行に関する通知本 CP/CPS「4.3.2 加入者に対する証明書の発行通知」に準じる。 ### 4.7.5 鍵更新された証明書の受領手続き本 CP/CPS「4.4.1 証明書受領手続き」に準じる。 ### 4.7.6 鍵更新された証明書の公開本 CP/CPS「4.4.2 認証局による証明書の公開」に準じる。 ### 4.7.7 他の関係者に対する鍵更新された証明書の発行通知本 CP/CPS「4.4.3 認証局による他の関係者に対する証明書発行の通知」に準じる。 ## 4.8 証明書の変更 ### 4.8.1 証明書の変更に関する要件下位認証局は、既に発行された証明書の変更の申請を受け付けないものとする。加入者は、証明書情報に変更が生じる場合、当該証明書の発行認証局に対し、遅滞なく当該証明書について失効を申請しなければならない。 ### 4.8.2 変更申請が認められる者該当せず。 ### 4.8.3 変更申請の手続き該当せず。 ### 4.8.4 変更された証明書の発行に関する通知該当せず。 ### 4.8.5 変更された証明書の受領手続き該当せず。 ### 4.8.6 変更された証明書の公開該当せず。 ### 4.8.7 他の関係者に対する変更された証明書の発行通知該当せず。 ## 4.9 証明書の失効および一時停止 ### 4.9.1 失効に関する要件本認証局は、以下の事由に該当する場合、該当する証明書を失効するものとする。 #### 4.9.1.1 証明書の失効理由加入者は、加入契約書に定めるいずれかの失効事由に該当する場合、下位認証局に対し該当する証明書の失効を申請しなければならない。下位認証局は、以下の一つ以上の事由に該当する場合、加入者の証明書を 24 時間以内に失効するものとする。下位認証局は、加入者の証明書の失効処理を行う前に、失効を要求する者の身元と権限を認証する。 1. 加入者が CRLReason の指定をせずに加入者の証明書を失効するよう下位認証局に文書で要求した場合（CRLReason：未指定(0)、この場合、reasonCode 拡張は表示しない） 2. 加入者が元の証明書申請を承認しておらず、遡及して許可を与えないことをサイバートラストに通知した場合（CRLReason：誤用、不正利用、証明書情報が不正確(9)） 3. 加入者の公開鍵に対応する秘密鍵が危殆化したという証拠を確認した場合（CRLReason：秘密鍵の危殆化(1)） 4. 証明書の公開鍵を基に、加入者の秘密鍵が容易に算出できると実証された手法（BR6.1.1.3(5)項で特定されている手法が含まれるが、これに限定されない）を確認した場合（CRLReason：秘密鍵の危殆化(1)） 5. 証明書において、加入者の証明書内の FQDN や IP アドレスに対する承認または制御の審査を信頼すべきでないという証拠を確認した場合（CRLReason：証明書の破棄(4)）下位認証局は、以下の一つ以上の事由に該当する場合、24 時間以内に加入者の証明書を失効することがあり、また、5 日以内に加入者の証明書を失効しなければならない。 6. 加入者の証明書が BR6.1.5 項および 6.1.6 項に、もはや準拠していないことを確認した場合（CRLReason：証明書の破棄(4)） 7. 加入者の証明書が誤用されたという証拠を確認した場合（CRLReason：誤用、不正利用、証明書情報が不正確(9)） 8. 加入者が加入契約書において重要な義務の一つ以上に違反をしたことを、下位認証局が判断したか、確認した場合（CRLReason：誤用、不正利用、証明書情報が不正確(9)） 9. 加入者の証明書内の FQDN や IP アドレスの使用が法的に許可されていないことを示す事実を確認した場合（例：裁判所または調停人がドメイン名の使用権を取り消した場合、またドメイン名の登録者と加入者の関連するライセンスやサービス協定が破棄された場合や、ドメイン名の登録者がドメイン名の更新に失敗した場合）（CRLReason：証明書の運用停止(5)） 10. ワイルドカード証明書が悪用目的で誤認を招く下位 FQDN を認証するために利用されていることを下位認証局が確認した場合（CRLReason：誤用、不正利用、証明書情報が不正確(9)） 11. 加入者の証明書内に含まれる情報に重大な変更があることを確認した場合（CRLReason：誤用、不正利用、証明書情報が不正確(9)） 12. CA/Browser Forum の要件、本 CP/CPS、加入契約書のいずれかに準拠せずに加入者の証明書を発行したことを確認した場合（この場合、下位認証局は無償で元の証明書の有効期間の残存分について正規の証明書を再発行する。）（CRLReason：証明書の破棄(4)） 13. 加入者の証明書に記載されている情報が不正確であると判断、または確認した場合（CRLReason：誤用、不正利用、証明書情報が不正確(9)） 14. CA/Browser Forum の要件に基づき、加入者の証明書を発行する下位認証局の権利が満了、失効または終了した場合。ただし、下位認証局が CRL/OCSP（Online Certificate Status Protocol）リポジトリを維持する調整を行う場合を除く（CRLReason：未指定(0) 、この場合、reasonCode 拡張は表示しない） 15. 本 CP/CPS により失効が必要となる場合。ただし、証明書の失効理由が本項内の別の項目に該当する場合には、当該項目の CRL Reason が優先される（CRLReason：未指定(0) 、この場合、reasonCode 拡張は表示しない） 16. 加入者の秘密鍵を晒して危殆化させる方法が実演、または証明された、もしくは秘密鍵の生成に使用された特定の方法に欠陥があるという明確な証拠を確認した場合（CRLReason：秘密鍵の危殆化(1)）下位認証局は、下位認証局が適切と判断した場合には、自らの単独裁量でいかなる加入者の証明書についても失効することができるものとする。 #### 4.9.1.2 下位認証局証明書の失効理由以下のいずれかの事由に該当する場合、ルート認証局は、当該事象の発見から 7 日以内に該当する下位認証局の証明書を失効するものとする。 1. 下位認証局が証明書を失効することを文書により要求した場合 2. 下位認証局がルート認証局に対し、元の証明書申請を承認しておらず、遡及して許可を与えないことを通知した場合。 3. ルート認証局が、下位認証局の公開鍵に対応する秘密鍵が危殆化した、または BR6.1.5 項および 6.1.6 項に、もはや準拠していないことを確認した場合。 4. ルート認証局が下位認証局の証明書が誤用されたという証拠を確認した場合。 5. 証明書、または下位認証局が CA/Browser Forum の要件、本 CP/CPS に準拠していないことをルート認証局が確認した場合。 6. ルート認証局が下位認証局証明書に記載されている情報が不正確または誤解を招くものであることを確認した場合。 7. ルート認証局または下位認証局が、業務を停止し、他の認証局へ証明書の失効サポートを提供するよう手配しない場合。 8. CA/Browser Forum の要件に基づき、証明書を発行するルート認証局または下位認証局の権利が失効または終了した場合。ただし、CRL/OCSP リポジトリを維持する調整を行う場合を除く。 9. ルート認証局の CP/CPS により失効が必要となる場合。 10. 証明書の技術的なコンテンツやフォーマットが、アプリケーションソフトウェアサプライヤーや信頼当事者、その他の者に対して許容しがたいリスクを与えることを確認した場合。 11. サイバートラストが本サービスを停止する場合。 #### 4.9.1.3 その他の証明書の失効理由 ##### 4.9.1.3.1 ルート認証局証明書以下のいずれかの事由に該当する場合、ルート認証局は自身のルート認証局証明書を失効する。ただし、以下の ② に関してはルート認証局が別途通知した運用終了より前の時点で失効をする場合がある。 1. いずれかのルート認証局の秘密鍵が危殆化したことを確認した場合。 2. ルート認証局が、証明書事業を停止し、他のルート認証局へ下位認証局証明書の失効サポートを提供するよう手配しない場合。 3. 関連諸規程に基づき証明書を発行するルート認証局の権利が満了、失効または終了した場合。ただし、ルート認証局が CRL/OCSP リポジトリを維持する調整を行う場合を除く。 4. 証明書の技術的なコンテンツあるいは形式が許容できないリスクをアプリケーションソフトウェアサプライヤーや信頼当事者に与えることを確認した場合。 ##### 4.9.1.3.2 OCSP レスポンダー証明書以下のいずれかの事由に該当する場合、本認証局はそのような事象が確認された時点で、当該する OCSP レスポンダー証明書を失効する。 1. OCSP レスポンダーの秘密鍵が危殆化したことを確認した場合。 2. 本認証局が、証明書業務を停止する場合。 3. その他、本認証局が必要と認める場合。 ### 4.9.2 失効申請が認められる者失効申請が認められる者は、申請責任者、手続き担当者または証明書の発行申請時に下位認証局から通知された下位認証局と加入者のみで共有する情報を加入者から正当な代理権を設定され、知り得た代理人とする。その他の第三者は、証明書を失効すべき合理的な理由がある場合、本認証局に証明書問題レポートを提出し、通知することができる。 ### 4.9.3 失効申請の手続き加入者は、文書、電子メール、またはサイバートラストが Web サイト上に通知した方法により失効申請を行う。失効申請には、下位認証局の案内に従い、下位認証局と加入者のみが知る情報、失効事由、連絡先等を含めなければならない。下位認証局は、本 CP/CPS「3.4 失効申請時の本人性確認と認証」の定めるところにより、失効事由を確認する。第三者からの特定の加入者の証明書に対する失効の要求については、本認証局が事由を調査し、失効処理が適切であると判断した場合、失効する。本認証局は、証明書の失効後の通知を行わない。なお、本 CP/CPS「9.1 料金」に定める無償再発行を伴う失効の場合は、無償再発行の連絡と併せて失効の通知をすることがある。 ### 4.9.4 失効申請までの猶予期間加入者は、本 CP/CPS「4.9.1.1 証明書の失効理由」に該当する事由が生じたときは、速やかに失効申請を行うものとする。 ### 4.9.5 認証局における失効処理にかかる時間本認証局は、24 時間 365 日失効申請を受け付ける。下位認証局は、証明書の問題に関わる報告（Certificate Problem Report）を受けた場合、24 時間以内に同報告に関連する事実および状況を調査し、その発見事項に関する予備的な報告を加入者および報告者の両方に連絡する。下位認証局は、事実および状況を検討した後、加入者および報告者、またはその他の失効通知者と協力し、証明書を失効するかどうか、および失効する場合の失効日を確定する。同報告または失効に関わる連絡の受領から失効情報公開までの期間は、本 CP/CPS「4.9.1.1 の失効理由」に規定された期間を超えないこととする。下位認証局は、以下を考慮の上、日付の選択をする。 1. 申し立てられた問題の性質（範囲、文脈、重大度、規模、危害のリスク） 2. 失効の影響（加入者および信頼当事者への直接的および付随的な影響） 3. 特定の証明書または加入者について受信した、証明書の問題に関わる報告数 4. 苦情を申し立てている事業体 5. 関連する法律 ### 4.9.6 信頼当事者による失効の確認方法信頼当事者は、本認証局が発行する CRL または OCSP により、証明書の失効を確認する。 ### 4.9.7 CRL 発行周期下位認証局は、CRL を少なくとも 7 日ごとに更新し公開する。ただし、証明書の失効があった場合には、その失効から 24 時間以内に CRL を更新し公開する。ルート認証局は、CRL を最低(i)12 か月に一回、および(ii)下位認証局証明書の失効から 24 時間以内に更新を行い、nextUpdate フィールドの値は、thisUpdate フィールドの値から 12 か月を超えてはならないものとする ### 4.9.8 CRL の最大遅延時間本認証局は、CRL を発行後、合理的な時間内に公開する。また、CRL の更新周期は本 CP/CPS「4.9.7 CRL 発行周期」の規定に準じる ### 4.9.9 オンラインでの失効情報の確認本認証局の OCSP レスポンスは RFC6960 に準拠している。OCSP レスポンスは、失効ステータスが確認されている証明書を発行した認証局により署名された証明書を持つ OCSP レスポンダーで署名される。OCSP レスポンダー証明書には、id-pkix-ocsp-nocheck タイプの拡張を含む。 ### 4.9.10 オンラインでの失効/ステータス確認を行うための要件本認証局は、OCSP において RFC6960 および RFC5019 にて言及される GET メソッドをサポートする。下位認証局は加入者の証明書について、CRL に加え OCSP により失効情報を提供する。加入者の証明書ステータスについて本サービスより提供される OCSP レスポンスは、8 時間以上で 10 日間以下の有効期間を有するものとする。下位認証局は、OCSP レスポンスの情報について、少なくとも 4 日間の周期でかつ、nextUpdate フィールドの値より 8 時間以上前に更新する。本認証局の OCSP は、発行されていない証明書に対し「Good」を返さない。下位認証局は、Precertificate に対しても CRL ならびに OCSP サービスとレスポンスを提供する。また、証明書が存在せず、Precertificate のみが存在する場合においても、失効が必要と判断する場合は Precertificate を失効する。なお、各認証局の OCSP リクエスト受付 URL は以下となる。 | ルート認証局 | OCSP URL | | --------------------- | ------------------------------------------ | | SecureSign Root CA11 | http://rtocsp.managedpki.ne.jp/OcspServer | | SecureSign Root CA12 | http://rtocsp.cybertrust.ne.jp/OcspServer | | SecureSign Root CA14 | http://rtocsp.cybertrust.ne.jp/OcspServer | | SecureSign Root CA15 | http://rtocsp.cybertrust.ne.jp/OcspServer | | 下位認証局 | OCSP URL | | ------------------------------------ | ------------------------------------------------------------ | | JCSI TLSSign Public CA | http://jcsitlssignpublicca-ocsp.managedpki.ne.jp/OcspServer | | Cybertrust Japan SureServer EV CA G7 | http://evocsp.cybertrust.ne.jp/OcspServer | | Cybertrust Japan SureServer EV CA G8 | http://evocsp.cybertrust.ne.jp/OcspServer | | Cybertrust Japan SureServer EV CA G9 | http://evocsp.cybertrust.ne.jp/OcspServer | | Cybertrust Japan SureServer CA G7 | http://ssocsp.cybertrust.ne.jp/OcspServer | | Cybertrust Japan SureServer CA G8 | http://ssocsp.cybertrust.ne.jp/OcspServer | ### 4.9.11 その他の利用可能な失効情報の提供手段該当せず。 ### 4.9.12 鍵の危殆化に対する特別要件 #### 4.9.12.1 証明書下位認証局は、加入者の秘密鍵の危殆化もしくは危殆化の可能性を知り得た場合、本 CP/CPS「4.9.3 失効申請の手続」に基づき失効処理を行う。第三者が秘密鍵の危殆化により証明書の失効を申請する場合は、本 CP/CPS「1.5.2 連絡窓口」に定める「証明書に問題が生じた場合のお問合せ連絡先」通報することとし、同通報、またはその後の本認証局とのやり取りにおいて、以下を含めることとする。 1. 鍵の危殆化を証明するための以下のいずれかの情報 - 秘密鍵自体 - 当該危殆化した秘密鍵を用い、本認証局が指定した文字列を Common Name 値として新たに作成した CSR 2. 報告者の氏名と連絡可能な電子メールアドレスおよび電話番号 #### 4.9.12.2 OCSP レスポンダー証明書本認証局は、OCSP レスポンダーの秘密鍵が危殆化したことを知り得た場合、当該 OCSP レスポンダー証明書の失効処理を行う。 ### 4.9.13 証明書の一時停止に関する要件本認証局は、証明書の一時停止に関する申請を受け付けない。 ### 4.9.14 一時停止の申請が認められる者該当せず。 ### 4.9.15 一時停止の申請手続き該当せず。 ### 4.9.16 一時停止の期間該当せず。 ## 4.10 証明書のステータス確認サービス本認証局は、CRL および OCSP 以外で証明書のステータスを確認できるサービスは提供しない。 ### 4.10.1 運用上の特性 CRL または OCSP レスポンスの失効情報は、失効した証明書の有効期限まで削除しないものとする。 ### 4.10.2 サービスの可用性本認証局は、通常の動作条件で 10 秒以下の応答時間を提供するのに十分なリソースで、CRL および OCSP 機能を運用および維持するものとする。CRL は、最低でも 7 日に一度の頻度で、更新および再発行され、nextUpdate フィールドの値は、thisUpdate フィールドの値から 10 日間を超過しないものとする。本認証局は、アプリケーションソフトウェアが認証局により発行された全ての期限切れでない証明書の現在の状態を自動的にチェックするために使用できるオンラインのリポジトリを 24 時間体制で維持するものとする。本認証局は、優先順位の高い、証明書に関わる問題の通知に 24 時間 365 日にて対応する能力を維持し、必要に応じてそのような苦情を法執行当局または CTJ PA に送付し、かつ/またはそのような苦情の対象となる証明書を失効する。 ### 4.10.3 その他の要件既定せず。 ## 4.11 加入（登録）の終了加入者との証明書の利用が終了する事由は、加入契約書に定める。また、加入者は、証明書が有効期間中であるにもかかわらず、契約の解除を希望する場合、本 CP/CPS「4.9.3 失効申請の手続き」に基づき、本認証局へ証明書の失効申請を行わなければならない。 ## 4.12 鍵の第三者預託および鍵回復 ### 4.12.1 鍵の預託および鍵回復のポリシーならびに手順本認証局は、加入者の秘密鍵の預託および回復を行わない。 ### 4.12.2 セッションキーのカプセル化と鍵回復のポリシーおよび実施該当せず。 --- # 5\. 設備上、運営上、運用上の管理 ## 5.1 物理的管理 ### 5.1.1 立地場所および構造本認証局のシステムは、地震、火災、水害、およびその他の災害による影響を容易に受けない施設（以下、「本施設」といい、特段の規定がない限り、メインサイトおよび本 CP/CPS「5.1.8 オフサイトバックアップ」に定めるバックアップサイトを含むものとする。）内に設置される。また、本施設には、建築構造上、耐震、耐火および水害その他の災害防止ならびに不正侵入防止の措置が講じられる。なお、本施設が設置される建築物の外部および建築物内には、認証局の所在に関わる情報を表示しない。 ### 5.1.2 物理的アクセス本施設および本施設内で認証業務が行われる各室は、業務の重要度に応じたセキュリティレベルが設けられ、相応する入退室管理が行われる。入退室時の認証には、セキュリティレベルに応じ入退室用カード、または生体認証その他の実装可能な技術的手段を用いる。また、特に重要な各室への入室、および同室内において認証局のシステム、その他重要資産が保管される保管庫の開扉の両方、またはいずれか一方は入室権限を有する複数名が揃わなければ開扉されない措置を講ずる。本施設および本施設内の認証業務が行われる各室は、監視システムにより、24 時間 365 日の監視が行われる。 ### 5.1.3 電源・空調設備本施設では、認証局のシステムおよび関連機器類の運用のために必要かつ十分な容量の電源を確保する。また、瞬断ならびに停電対策として、無停電電源装置および自家発電機を設置する。さらに、認証業務を行う各室には空調設備を設置し、特に重要な室内は二重化する。 ### 5.1.4 水害対策本施設内の認証業務を行う特に重要な各室には、漏水検知機を設置し、防水対策を講じる。 ### 5.1.5 火災対策本施設は、耐火構造の建物である。また、特に重要な各室は防火区画内に設置され、火災報知機および自動ガス式消火設備を備える。 ### 5.1.6 媒体保管場所本認証局のシステムのバックアップデータが含まれる媒体、審査業務で使用した書類等については、職務上許可された者のみが入室できる室内に保管する。 ### 5.1.7 廃棄物処理機密情報を含む書類はシュレッダーにより裁断の上、廃棄する。電子媒体については、物理的破壊、初期化、消磁等の措置により記録されたデータを完全に抹消の上、廃棄する。 ### 5.1.8 オフサイトバックアップ認証局の秘密鍵およびシステムの復旧上重要な資産の原本またはコピーは、メインサイト内のほか、遠隔地のバックアップサイトにも保管する。バックアップサイトの保管庫は、複数名の者により施錠管理され、また、開扉の記録が残される。 ### 5.1.9 地震対策本施設は耐震構造の建物であり、また、認証局のシステム機器および什器には転倒および落下を防止する対策を講じる。 ## 5.2 手続的管理 ### 5.2.1 信頼される役割サイバートラストは、認証局を運営するために必要な人員（以下、「認証局員」という。）およびその役割を以下のとおり定める。 #### 5.2.1.1 認証局責任者各認証局責任者は、担当する認証局を総括する。 #### 5.2.1.2 発行局管理者発行局管理者は、認証局の発行局業務を管理する。 #### 5.2.1.3 発行局システムアドミニストレーター発行局システムアドミニストレーターは、発行局管理者の管理の下、認証局のシステムの維持・管理を行う。 #### 5.2.1.4 発行局オペレーター発行局オペレーターは、発行局管理者および発行局システムアドミニストレーターの業務を補佐する。ただし、認証局のシステムを操作する権限は付与されない。 #### 5.2.1.5 登録局管理者登録局管理者は、認証局の登録局業務を管理する。 #### 5.2.1.6 登録局オペレーター管理者登録局オペレーター管理者は、登録局オペレーターを管理する。 #### 5.2.1.7 登録局オペレーター登録局オペレーターは、登録局管理者の管理の下、加入者からの申請を処理し、発行局に対し証明書の発行または失効を依頼する。 ### 5.2.2 役割ごとに必要とされる人数サイバートラストは、発行局システムアドミニストレーターおよび登録局オペレーターをそれぞれ 2 名以上配置する。 ### 5.2.3 各役割における本人性確認と認証サイバートラストは、各役割に応じ、認証業務を行う各室の入室権限および認証局のシステムの操作権限を定める。各室の入室時またはシステムの操作時においては、入退室カード、生体認証、電子証明書、ID およびパスワード等の単体または組合せより、本人性および入室・操作権限の確認ならびに認証が行われる。 ### 5.2.4 職務の分離が必要とされる役割サイバートラストは、発行局と登録局の業務の兼務を認めない。また、認証局責任者が他の役割を兼務することも認めない。 ## 5.3 人事的管理 ### 5.3.1 経歴、資格、経験等に関する要求事項認証局員は、サイバートラストが別途定める採用基準に基づき採用され、配置される。 ### 5.3.2 身元調査手続き認証局員として配置される社員の身元調査は、サイバートラストの社内規程および EV ガイドラインならびに BR が定める要件に基づき行われる。 ### 5.3.3 教育および訓練サイバートラストは、認証局員として配置される全ての従業員に対し教育および訓練を実施する。教育および訓練には、本 CP/CPS、および関連諸規程の教育のほか、認証局員の役割に応じた必要な教育および訓練を含む。証明書の審査を行う全ての担当者は、必要な内部試験を受けるものとする。また、教育および訓練の有効性は発行局管理者または登録局管理者が評価し、必要に応じ再教育・訓練を実施する。 ### 5.3.4 再教育・訓練の周期と要件サイバートラストは、認証局員に対する再教育および訓練を適宜実施する。少なくとも以下の事態が生じた場合は、教育・訓練を実施する。 1. 本 CP/CPS、加入契約書、および関連諸規程の変更時で、CTJ PA、認証局責任者、発行局管理者、または登録局管理者が必要と判断した場合 2. 認証局員が配置された認証局のシステムの変更をする場合であって、CTJ PA、各認証局責任者、発行局管理者、または登録局管理者が必要と判断した場合 3. その他、CTJ PA、認証局責任者、発行局管理者、登録局管理者が必要と判断した場合 ### 5.3.5 職務ローテーションの周期と順序サイバートラストは、必要に応じ認証局員の配置転換を行う。 ### 5.3.6 許可されていない行動に対する罰則サイバートラストは、認証局員が本 CP/CPS、サイバートラストの社内規程、および関連諸規程に反する行動をした場合、速やかに原因ならびに影響範囲等の調査を行った上で、サイバートラストの就業規則に準じ、処罰を課す。 ### 5.3.7 契約社員等に対する契約要件サイバートラストは、業務委託先の社員、契約社員または派遣社員等（以下、「契約社員等」という。）を認証局員として配置する場合、委託業務の内容、契約社員等に課す守秘義務および罰則等を明確に定めた契約を結ぶとともに、契約社員等に対し、本 CP/CPS、サイバートラストの社内規程、および関連諸規程の遵守を要求する。契約社員等が本 CP/CPS、サイバートラストの社内規程、および関連諸規程に反する行動をした場合、処罰については、当該契約に基づき行う。 ### 5.3.8 認証局員が参照できる文書サイバートラストは、各認証局員に対し、役割に応じた必要な文書のみが参照できる措置を講ずる。 ## 5.4 監査ログの手続き ### 5.4.1 記録されるイベントの種類サイバートラストは、本 CP/CPS の準拠性とセキュリティの妥当性を評価するため、監査ログとして以下の記録を収集する。なお、記録には日時、記録を行う担当の識別情報、記録の概要を含めるものとする。 1. 認証局証明書と鍵のライフサイクルイベントは、以下を含む: - 鍵生成、バックアップ、保管、復元、アーカイブ、および破棄 - 証明書申請、更新/鍵更新申請、および失効 - 証明書申請の承認と棄却 - 暗号化デバイスのライフサイクル管理イベント - 証明書の CRL の生成 - OCSP レスポンスへの署名 - 新しい証明書プロファイルの導入、および既存の証明書プロファイルの停止 2. 加入者証明書のライフサイクル管理イベントは、以下を含む - 証明書申請、更新/鍵更新申請、および失効 - 関連要件および認証局の CP/CPS に規定される全ての審査活動 - 証明書申請の承認と棄却 - 証明書発行 - 証明書の CRL の生成 - OCSP レスポンスへの署名 - 各 N etwork Perspective による Multi-Perspective Issuance Corroboration の試行（少なくとも以下の情報を記録する） - 使用された Network Perspective を一意に識別する識別子 - 試行されたドメイン名または IP アドレス - 試行の結果（例：ドメイン審査の可/不可、CAA の許可/禁止） - 証明書申請に含まれるドメイン名または IP アドレスごとに試行された Multi-Perspective Issuance Corroboration の定足数結果 (例：「3/4」は、「試行された 4 つの Network Perspective のうち 3 つが、Primary Network Perspective によって行われた判定を裏付けた」と扱う)。 3. セキュリティイベントは、以下を含む - PKI システムへのアクセス試行の成功および失敗結果 - 実行された PKI およびセキュリティシステムの動作 - セキュリティプロファイルの変更 - 証明書システムへのソフトウェアのインストール、更新および削除 - システムクラッシュ、ハードウェア障害、およびその他の異常 - ルーターとファイアウォールの動作 - 認証局施設への入退室 4. ログレコードには以下を含める。 - イベントの日時 - レコードの記録を行う担当の識別情報（該当する場合） - イベントの種類 #### 5.4.1.1 ルーターとファイアウォールの動作ログ本 CP/CPS「5.4.1 記録されるイベントの種類」に規定された監査ログのうち、セキュリティイベントに含まれる、ルーターとファイアウォールの動作ログについては、以下を含むものとする。 - ルーターおよびファイアウォールへのログイン試行の成功および失敗 - ルーターおよびファイアウォール上で実行された全ての管理操作(構成の変更、ファームウェアの更新、アクセス制御の変更など)のログ - 追加、変更、削除を含む、全てのファイアウォール設定変更のログ - ハードウェアの障害、ソフトウェアのクラッシュ、システムの再起動など、全てのシステムイベント、およびエラーのログ ### 5.4.2 監査ログを処理する頻度サイバートラストは、本 CP/CPS「5.4.1 記録されるイベントの種類」に規定された監査ログに関し、週次、月次、または四半期に一度の頻度で検査する。 ### 5.4.3 監査ログの保管期間本認証局は、本 CP/CPS「5.4.1 記録されるイベントの種類」に規定の下記の監査ログを少なくとも 2 年間保管するものとする。 1. 認証局証明書および鍵のライフサイクル管理イベントの記録（直近に発生した以下の事象の発生後も上記期間まで保管する） - 認証局秘密鍵の破棄 - cA field が True に設定された X.509v3 basicConstraints 拡張を持ち、認証局証明書の秘密鍵に対する共通の公開鍵を共有する証明書内の最後の認証局証明書の失効または期限切れ 2. 加入者証明書のライフサイクル管理イベントの記録（加入者証明書の有効期限が切れた後、少なくとも 2 年間保管する） 3. 全てのセキュリティイベント本認証局は、監査ログが不要となったとき、本 CP/CPS「5.1.7 廃棄物処理」の規定に基づき廃棄する。 ### 5.4.4 監査ログの保護サイバートラストは、許可された者のみが閲覧可能となるよう、監査ログへのアクセスコントロールを施す。保管庫への物理的なアクセスコントロール、電子媒体であればフォルダ等への論理的なアクセスコントロールを施す。 ### 5.4.5 監査ログのバックアップ手続きサイバートラストは、登録局および発行局のシステム上のログについては、バックアップを取得する。紙媒体については、原本のみを保管する。 ### 5.4.6 監査ログの収集システム登録局および発行局のシステムは、実装された機能により監査ログを自動的に収集する。 ### 5.4.7 当事者への通知サイバートラストは、イベントを発生させた当事者に通知することなく、監査ログを収集、検査する。 ### 5.4.8 脆弱性評価サイバートラストは、以下の年次リスク評価を実施する。 1. 証明書データまたは証明書管理プロセスへの不正アクセス、露呈、誤用、変更、または破壊につながる可能性のある予測可能な内部および外部の脅威の特定 2. 証明書データおよび証明書管理プロセスの機密性について、これらの脅威の発生可能性と脅威の発生により起こりうる損害を評価し検討 3. 認証局のポリシー、実施要項、情報システム、テクノロジー、およびその他の対策がこれらの脅威への対策として十分であるかの評価また、サイバートラストは定期的に脆弱性評価を実施し、当該脆弱性を是正するために必要な対応を行うほか、定期的に監査ログの検査によりリスクや脅威が発見された場合についても、同様に必要な対応を行う。 ## 5.5 記録の保管 ### 5.5.1 保管対象となる記録サイバートラストは、本 CP/CPS「5.4.1 記録されるイベントの種類」で規定された監査ログのほか、以下の情報を保管する。 1. 認証局の証明書 2. 加入者の証明書 3. CRL 4. 内部監査報告書 5. 外部監査報告書 6. 申請時に加入者より受理した書類 7. 本 CP/CPS、および関連諸規程 ### 5.5.2 記録の保管期間本認証局は、本 CP/CPS「5.5.1 保管対象となる記録」に規定される記録、および以下の記録について、記録の作成時点から少なくとも 2 年間、または「5.4.3 監査ログの保管期間」のいずれかの長い期間で保管する。 1. 証明書システム、証明書管理システム、およびルート認証局システムに関連する全ての保管された文書 2. 証明書申請および証明書の審査、発行、失効に関連する全ての保管された文書　（直近に発生した以下の事象の発生後も上記期間まで保管する） - 証明書または証明書申請の審査、発行、失効にあたり、当該文書に依拠した最終時点、または - 当該文書に依拠した加入者証明書の有効期間満了時点本認証局は、保管された過去の記録の遡及と調査が必要なセキュリティ、またはその他のインシデントに備え、適切なより長い保管期間を定めることができるものとする。本認証局は、記録が不要となったとき、本 CP/CPS「5.1.7 廃棄物処理」の規定に基づき廃棄する。 ### 5.5.3 記録の保護本 CP/CPS「5.4.4 監査ログの保護」と同様の手続きにより行う。 ### 5.5.4 記録のバックアップ手続き本 CP/CPS「5.4.5 監査ログのバックアップ手続き」と同様の手続きにより行う。 ### 5.5.5 記録のタイムスタンプについてサイバートラストは、帳票類については起票日もしくは処理した日付を記録する。また、日付のみでは記録としての立証性に欠ける場合は、時刻も記録する。認証局および加入者の証明書については、発行された日時を記録する。また、認証局のシステムには、発行する証明書および監査ログに対して正確な日付・時刻を記録するために必要な措置を講じる。 ### 5.5.6 記録収集システム証明書については、認証局のシステムの機能により自動的に収集する。その他の紙媒体については、認証局員が収集する。 ### 5.5.7 記録の取得と検証手続きサイバートラストは、記録の取得および閲覧が認められる者として、認証局員、監査人および CTJ PA が認めた者に限定する。また、記録の可読性に関わる検証は、必要に応じ、実施する。 ## 5.6 認証局の鍵更新サイバートラストは、加入者の証明書が有効である間に認証局の証明書の有効期間が満了することなく、認証局の鍵ペアを更新する。更新された認証局の公開鍵が含まれる証明書は、サイバートラストの Web サイトに公開する。 ## 5.7 危殆化および災害からの復旧 ### 5.7.1 危殆化および災害からの復旧手続きサイバートラストは、本認証局の秘密鍵が危殆化した場合、以下を実行すると同時に、危殆化の事実を加入者および信頼当事者へ公開する。 1. 危殆化した秘密鍵を用いた認証業務の停止 2. 危殆化した秘密鍵を用いた認証局から発行した全ての証明書の失効 3. 危殆化の原因調査 4. 是正処置案の策定ならびに CTJ PA による評価・承認 5. 是正処置の実行 6. 業務再開の妥当性の評価 7. 新たな鍵ペアの生成および証明書の発行 8. 認証業務の再開（加入者および信頼当事者への通知を含む） 9. 証明書の再発行また、本認証局が被災した場合には、本 CP/CPS「5.7.4 災害時等の事業継続性」に規定する業務継続計画に基づき、バックアップ用のハードウェア、ソフトウェア、およびデータにより復旧作業を行い、認証業務の再開に努め、再開時には再開の事実を加入者および信頼当事者に公開する。サイバートラストは、本認証局の秘密鍵の危殆化、その他認証局の侵害、または重大なイベントが発生した場合、ルート認証局証明書が登録されるアプリケーションソフトウェアのサプライヤーに通知するものとする。また、サイバートラストは、各アプリケーションソフトウェアサプライヤーが定める要件においてインシデントと分類される事象が発生した場合、該当するアプリケーションソフトウェアサプライヤーに対し、そのアプリケーションソフトウェアサプライヤーが要求するインシデントレポート形式で全てのインシデントを速やかに報告しなければならず、対応するバグが解決されるまでインシデントレポートを定期的に更新するものとする。 ### 5.7.2 システム資源の障害時の手続きサイバートラストは、ハードウェア、ソフトウェア、またはデータが破壊された場合には、バックアップ用のハードウェア、ソフトウェア、またはデータを用いて認証業務を継続する。 ### 5.7.3 加入者秘密鍵の危殆化時の手続き加入者は、自己の責任により管理する秘密鍵の危殆化もしくは危殆化が疑われる事態が生じた場合、本 CP/CPS「4.9 証明書の失効および一時停止」に規定された手続きに基づき、証明書の失効手続きを行わなければならない。下位認証局は、本 CP/CPS「4.9.3 失効申請の手続き」に基づき、加入者の証明書を失効する。 ### 5.7.4 災害時等の事業継続性サイバートラストは、災害等からの復旧対策ならびに業務継続について、別途、業務継続計画を定める。業務継続計画は、本施設に保管されたデータ等を用い、認証局の業務の全体または一部（失効処理）の復旧・再開の実施要領が定められる。被災からの復旧時間については、被災状況の調査に基づき、段階的復旧目標が業務継続計画により定められる。 ## 5.8 認証局の業務の終了サイバートラストは、いずれかの認証局の業務を終了する場合、事前に加入者に通知するほか、サイバートラストの Web サイトにおいても、その旨公開する。サイバートラストが保有する加入者の情報については、廃棄もしくは業務移管先へ提供するものとし、この旨は業務終了時にサイバートラストの Web サイト上で告知される。 --- # 6\. 技術的セキュリティ管理 ## 6.1 鍵ペアの生成および導入 ### 6.1.1 鍵ペアの生成ルート認証局の鍵ペア生成は、EV SSL/TLS サーバー証明書のルート認証局の場合、BR 6.1.1.1 項および EV ガイドライン 6.1.1 項に従い、本 CP/CPS「8.2 監査人の身元/資格」および「8.3 監査人と被監査者の関係」に定める監査人による立会いにより、ルート認証局の鍵ペアの生成が所定の鍵生成手順に即し行われることを担保する。その他の証明書のルート認証局の鍵ペア、ならびに下位認証局の鍵ペア生成は、BR6.1.1.1 項に従い、本 CP/CPS「8.2 監査人の身元/資格」および「8.3 監査人と被監査者の関係」に定める監査人による立会い、あるいは、立会いのない場合は録画された生成作業を監査人へ提示することで、ルート認証局の鍵ペア、ならびに下位認証局の鍵ペアの生成が所定の鍵生成手順に即し行われることを担保する。認証局の鍵ペア生成の際には、FIPS 140-2 の少なくともレベル 3 の規格を満たした秘密鍵暗号モジュール（以下、「HSM」という。）の他、秘密分散の手法が用いられる。OCSP レスポンダーで使用する鍵ペア生成の際には、FIPS 140-2 レベル 3 の規格を満たした HSM が用いられる。加入者証明書の鍵ペアの生成について、以下の一つ、または複数の条件に該当する場合、加入者からの証明書申請を棄却する。 1. BR6.1.5 項または 6.1.6 項で定められる鍵ペアの要件を満たさない場合 2. 秘密鍵生成に利用される特定の手法に欠陥があることを示す明確な証拠を得た場合 3. 加入者の秘密鍵を危殆化させる実証された、または既知の手法を下位認証局が認識した場合 4. 本 CP/CPS「4.9.3 失効申請の手続き」および「4.9.12 鍵の危殆化に関する特別要件」に基づき、加入者の秘密鍵が危殆化していることを下位認証局が事前に通知されている場合 5. 公開鍵が業界で実証されている脆弱な秘密鍵に該当している場合。下位認証局は証明書申請に対し、少なくとも以下の予防措置を講じる。 - Debian weak keys の脆弱性（https://wiki.debian.org/SSLkeys/ ）の場合、https://github.com/cabforum/Debian-weak-keys/ にリストされている鍵の種別と鍵サイズに該当する全ての公開鍵を棄却する。BR6.1.5 項の要件を満たすその他の全ての公開鍵については、8192bit を超える RSA 鍵サイズを除き、Debian weak keys を棄却する。 - ROCA の脆弱性の場合、https://github.com/crocs-muni/roca または同等のツールによって判別される公開鍵を棄却する - Close Primes の脆弱性（https://fermatattack.secvuln.info）の場合、フェルマーの因数分解法を用いて100ラウンド以内に因数分解できる公開鍵を棄却する下位認証局は、加入者証明書に使用される鍵ペアの生成は行わない。また本認証局は、上記加入者証明書の発行において加入者の鍵ペアを過去生成したことはなく、従って下位認証局が過去に生成した鍵ペアを使用した証明書申請を受け入れることもない。 ### 6.1.2 加入者秘密鍵の配送下位認証局は、加入者の秘密鍵を保存しない。下位認証局は加入者の秘密鍵を移送しない。加入者の秘密鍵は、加入者自らが生成する。加入者の秘密鍵が以下のいずれか以外に取得されたこと、またはその可能性を認識した場合、当該秘密鍵に対応する公開鍵を含む全ての証明書を失効できるものとする。 1. 加入者により許可された個人または組織 2. 本認証局において上記秘密鍵の生成、送付の業務に関わる者 ### 6.1.3 認証局への加入者公開鍵の配送加入者は、証明書発行要求データ中に公開鍵を含めたうえで、サイバートラストが指定する所定の方法により下位認証局へ配送する。 ### 6.1.4 信頼当事者への認証局公開鍵の配送ルート認証局の公開鍵を含めルート認証局証明書は、リポジトリにて公開する。下位認証局の公開鍵が含まれる下位認証局の証明書は、サイバートラストの Web サイトに公開する。本認証局は、信頼当事者に対する本認証局の公開鍵の配送を行わない。 ### 6.1.5 鍵サイズルート認証局の証明書に関わる鍵の署名方式および鍵サイズは次のとおりとする。 | 認証局名称 | 署名方式 | 鍵サイズ | | -------------------- | ----------------- | -------- | | SecureSign RootCA11 | SHA1 with RSA | 2048 bit | | SecureSign Root CA12 | SHA256 with RSA | 2048 bit | | SecureSign Root CA14 | SHA384 with RSA | 4096 bit | | SecureSign Root CA15 | ECDSA with SHA384 | 384 bit | 下位認証局の証明書に関わる鍵の署名方式および鍵サイズは次のとおりとする。 | 認証局名称 | 署名方式 | 鍵サイズ | | ------------------------------------ | ----------------- | -------- | | JCSI TLSSign Public CA | SHA2 with RSA | 2048 bit | | Cybertrust Japan SureServer EV CA G7 | SHA256 with RSA | 2048 bit | | Cybertrust Japan SureServer EV CA G8 | ECDSA with SHA384 | 384 bit | | Cybertrust Japan SureServer EV CA G9 | SHA384 with RSA | 4096 bit | | Cybertrust Japan SureServer CA G7 | SHA256 with RSA | 2048 bit | | Cybertrust Japan SureServer CA G8 | ECDSA with SHA384 | 384 bit | OCSP レスポンダー証明書に関わる鍵の署名方式および鍵サイズは次のとおりとする。 | OCSP レスポンダー証明書 | 署名方式 | 鍵サイズ | | ---------------------------------------------------------- | ----------------- | -------- | | Certificate issued by SecureSign Root CA11 | SHA256 with RSA | 2048 bit | | Certificate issued by SecureSign Root CA12 | SHA256 with RSA | 2048 bit | | Certificate issued by SecureSign Root CA14 | SHA384 with RSA | 4096 bit | | Certificate issued by SecureSign Root CA15 | ECDSA with SHA384 | 384 bit | | Certificate issued by JCSI TLSSign Public CA | SHA2 with RSA | 2048 bit | | Certificate issued by Cybertrust Japan SureServer EV CA G7 | SHA256 with RSA | 2048 bit | | Certificate issued by Cybertrust Japan SureServer EV CA G8 | ECDSA with SHA384 | 384 bit | | Certificate issued by Cybertrust Japan SureServer EV CA G9 | SHA384 with RSA | 4096 bit | | Certificate issued by Cybertrust Japan SureServer CA G7 | SHA256 with RSA | 2048 bit | | Certificate issued by Cybertrust Japan SureServer CA G8 | ECDSA with SHA384 | 384 bit | 加入者の証明書に関わる鍵の署名方式および鍵サイズは次のとおりとする。 | 加入者の証明書 | 署名方式 | 鍵サイズ | | ---------------------------------------------------------- | ----------------- | ------------------------------------------------------------------------------- | | Certificate issued by JCSI TLSSign Public CA | SHA256 with RSA | 少なくとも 2048 bit （モジュラスのサイズは、8 で割り切れる bit サイズとする。） | | Certificate issued by Cybertrust Japan SureServer EV CA G7 | SHA256 with RSA | 少なくとも 2048 bit （モジュラスのサイズは、8 で割り切れる bit サイズとする。） | | Certificate issued by Cybertrust Japan SureServer EV CA G8 | ECDSA with SHA384 | 少なくとも 256 bit | | Certificate issued by Cybertrust Japan SureServer EV CA G9 | SHA384 with RSA | 少なくとも 2048 bit （モジュラスのサイズは、8 で割り切れる bit サイズとする。） | | Certificate issued by Cybertrust Japan SureServer CA G7 | SHA256 with RSA | 少なくとも 2048 bit （モジュラスのサイズは、8 で割り切れる bit サイズとする。） | | Certificate issued by Cybertrust Japan SureServer CA G8 | ECDSA with SHA384 | 少なくとも 256 bit | ### 6.1.6 公開鍵パラメーター生成および検査 RSA 鍵：本認証局は、公開指数の値が、3 以上の奇数であることを確認する。さらに公開指数は、2¹⁶+1 と 2²⁵⁶-1 の値域であるものとする。またその係数は、次の特性を持つものとする：素数ではなく 752 より小さな要素を持たない奇数。（参照: NIST SP 800-89 の 5.3.3 項） ECC 鍵：本認証局は ECC Full Public Key Validation Routine または、ECC Partial Public Key Validation Routine のいずれかを使用した全ての鍵の全ての鍵の有効期限を確認する。（参照: NIST SP 56A: Revision 2 の 5.6.2.3.2 項と 5.6.2.3.3 項）本認証局の公開鍵は、FIPS 140-2 認定かつ FIPS 186-2 に準拠したハードウェアで生成される。 ### 6.1.7 鍵用途ルート認証局の鍵用途（Key Usage）は、Certificate Signing および CRL Signing とする。証明書の鍵用途（Key Usage）は、Digital Signature および Key Encipherment（RSA 鍵の場合）、または Digital Signature（ECC 鍵の場合）とする。本認証局の OCSP レスポンダー証明書の鍵用途（Key Usage）は、Digital Signature とする。ルート認証局の秘密鍵は、以下に署名する以外では用いてはならない。 1. ルート認証局の証明書 2. 下位認証局証明書およびクロス証明書 3. 本認証局におけるインフラストラクチャに必要な証明書 4. ルート認証局が発行する CRL 5. ルート認証局が提供する OCSP レスポンスに使用する証明書 ## 6.2 秘密鍵の保護および暗号モジュール技術の管理 ### 6.2.1 暗号モジュールの標準および管理本認証局の鍵ペアを管理するための暗号モジュールは、FIPS 140-2 の少なくともレベル 3 の規格を満たした HSM とする。HSM は、発行局が管理する。 OCSP レスポンダーで使用する鍵ペアは、FIPS 140-2 レベル 3 の規格を満たした HSM により管理する。OCSP レスポンダーは発行局が管理する。 ### 6.2.2 秘密鍵の複数人管理（n out of m）本認証局および OCSP レスポンダーで使用する秘密鍵は、常時複数人の発行局システムアドミニストレーターによって管理される。 ### 6.2.3 秘密鍵の預託本認証局は、本認証局、加入者および OCSP レスポンダーで使用する秘密鍵の預託を行わない。 ### 6.2.4 秘密鍵のバックアップ本認証局の秘密鍵のバックアップは、発行局システムアドミニストレーターが行う。HSM からバックアップされた秘密鍵は、暗号化された上で複数に分割され、各々が施錠可能な保管庫に安全に保管される。 OCSP レスポンダーで使用する秘密鍵については、HSM の機能を用いて暗号化された状態で、システムのバックアップとして、発行局システムアドミニストレーターによりバックアップされ、保管される。 ### 6.2.5 秘密鍵のアーカイブサイバートラストは、認証局および OCSP レスポンダーで使用する秘密鍵のアーカイブを行わない。 ### 6.2.6 秘密鍵の暗号モジュールへのまたは暗号モジュールからの転送サイバートラストは、認証局で使用する秘密鍵のコピーを安全な方法でバックアップサイトへ移送する。HSM の故障等により認証局の秘密鍵の復元が必要となる場合、発行局システムアドミニストレーターは、メインサイトまたはバックアップサイトに保管されたバックアップを用いて復元する。 OCSP レスポンダーの秘密鍵の復元が必要となる場合、発行局システムアドミニストレーターは、メインサイトまたはバックアップサイトに保管されたシステムバックアップを用いて復元する。ただし、該当の認証局の認証局責任者の承認の下、対応する証明書を失効し、新たに秘密鍵を生成する場合がある。 ### 6.2.7 暗号モジュール内での秘密鍵保存本認証局で使用する秘密鍵は、FIPS 140-2 の少なくともレベル 3 の規格を満たす HSM 内で生成され、暗号化された上で保存される。 OCSP レスポンダーで使用する秘密鍵は、FIPS 140-2 の少なくともレベル 3 の規格を満たす HSM 内で生成され、暗号化された上で保存される。 ### 6.2.8 秘密鍵の活性化認証局および OCSP レスポンダーで使用する秘密鍵は、発行局管理者の承認の下、別途規定された手順に基づき、複数の発行局システムアドミニストレーターにより活性化される。また、活性化作業は記録される。 ### 6.2.9 秘密鍵の非活性化認証局および OCSP レスポンダーで使用する秘密鍵は、発行局管理者の承認の下、別途規定された手順に基づき、複数の発行局システムアドミニストレーターにより非活性化される。また、非活性化作業は記録される。 ### 6.2.10 秘密鍵破壊の方法認証局および OCSP レスポンダーで使用する秘密鍵は、認証局責任者の指示を受け、発行局管理者の管理の下、別途規定された手順に基づき、複数の発行局システムアドミニストレーターにより破壊される。同時に、本 CP/CPS「6.2.4 秘密鍵のバックアップ」に規定するバックアップされた秘密鍵についても、同様の手順に基づき破壊される。また、破壊作業は記録される。 ### 6.2.11 暗号モジュールの評価本認証局は、本 CP/CPS「6.2.1 暗号モジュールの標準および管理」に定める標準を満たした HSM を使用する。 ## 6.3 鍵ペアのその他の管理 ### 6.3.1 公開鍵の保存公開鍵の保存は、それが含まれる証明書を保存することで行う。 ### 6.3.2 証明書の有効期間と鍵ペアの有効期間各証明書の最大有効期間は下表のとおりとする。 | 種別 | 秘密鍵 | 証明書の最大有効期間 | | ----------------------- | -------------- | -------------------- | | ルート認証局証明書 | 特に指定しない | 25 年 1 ヶ月 | | 下位認証局証明書 | 特に指定しない | 16 年 1 ヶ月 | | EV SSL/TLS 証明書 | 特に指定しない | 397 日 | | OV SSL/TLS 証明書 | 特に指定しない | 397 日 | | OCSP レスポンダー証明書 | 特に指定しない | 25 ヶ月 | ## 6.4 活性化データ ### 6.4.1 活性化データの作成および設定認証局で使用する活性化データは、容易に推測されないよう配慮の上作成され、設定される。サイバートラストは、ハードウェア製造者の仕様に従い、本認証局の秘密鍵を含む暗号化モジュールを活性化する。本メソッドは FIPS 140-2 の少なくともレベル 3 の基準を満たし、暗号化ハードウェアは本 CP/CPS「5.2.2 役割ごとに必要とされる人数」で記述されるとおり、2 名の発行局システムアドミニストレーターによって維持されるものとする。サイバートラストは（活性化データの送付が必要な場合）、対応する暗号化モジュールの送付とは時間と場所を変えて、安全に保護されたチャネルを用いて、活性化データを送る。サイバートラストのスタッフは全員、高強度のパスワードを使用し、CA/Browser Forum の要件に従い、PIN やパスワードを保護することが求められる。 ### 6.4.2 活性化データの保護認証局内で使用される活性化データは、本 CP/CPS「5.1.2 物理的アクセス」の規定に基づき入退室管理が施された室内において、施錠可能な保管庫に保管される。 ### 6.4.3 活性化データのその他規定せず。 ## 6.5 コンピューターのセキュリティ管理 ### 6.5.1 コンピューターセキュリティに関する技術的要件本認証局は、証明書の発行を直接実行できる全てのアカウントに多要素認証を適用する。上記に加え、認証局のシステムは、セキュリティ対策として以下を実施する。 1. 操作者の権限の認証 2. 操作者の識別と認証 3. 重要なシステム操作に対する操作ログの取得 4. 適切なパスワード設定および定期的な変更 5. バックアップ・リカバリ ### 6.5.2 コンピューターセキュリティの評価サイバートラストは、本認証局が導入するハードウェア、ソフトウェアに対して、事前に導入評価を実施する。また、使用するシステムにおけるセキュリティ上の脆弱性に関する情報収集および評価を継続的に行い、重大な脆弱性が発見された場合には、速やかに必要な対応を行う。 ## 6.6 ライフサイクル技術管理 ### 6.6.1 システム開発管理認証局のシステムの構築および変更は、サイバートラスト内部で任命された開発責任者の管理の下、別途定められた規定に基づき行う。開発責任者が必要と判断する場合は、テスト環境において必要かつ十分な検証を行い、セキュリティ上問題がないことを確認する。 ### 6.6.2 セキュリティ運用管理認証局のシステムは、十分なセキュリティを確保するために必要な設定が行われる。また、セキュリティレベルに則した入退室管理やアクセス権限管理、同システムのウイルス対策等を実施するとともに、セキュリティ上の脆弱性についての情報収集および評価を継続的に行い、重大な脆弱性が発見された場合には、速やかに必要な対応を行う。 ### 6.6.3 ライフサイクルセキュリティ管理サイバートラストは、認証局のシステムの開発、運用、変更、廃棄の各工程において責任者を定め、作業計画または手順を策定・評価し、必要に応じ試験を行う。また、各作業は記録される。 ## 6.7 ネットワークセキュリティ管理本認証局は、CA/Browser Forum の Network and Certificate System Security Requirements に準拠し、ネットワークセキュリティを管理する。認証局のシステムとインターネット等の外部システムとは、ファイアウォール等を介し接続され、また、侵入検知システムによる監視が行われる。ただし、ルート認証局のシステムはネットワークに接続せず、オフラインにて運用する。 ## 6.8 タイムスタンプ全てのログには、本 CP/CPS「5.5.5 記録のタイムスタンプについて」に従い、同期されたタイムスタンプが含まれるものとする。 --- # 7\. 証明書、CRL、および OCSP のプロファイル ## 7.1 証明書のプロファイル本認証局は、電子証明書の構成にあたって、ITU X.509 バージョン 3 の規格を使用する。 ### 7.1.1 バージョン番号サイバートラストは、X.509 バージョン 3 の証明書を発行する。 ### 7.1.2 証明書拡張領域本認証局は、RFC5280 を含む適用可能な業界の基準に準拠した証明書拡張領域を使用する。本認証局は、重要なプライベート拡張を持つ証明書を発行しない。下位認証局は、アプリケーションソフトウェアサプライヤーが認める信頼ビットと PKI 使用例に則した ExtendedKeyUsage 拡張を含めるものとする。証明書には、 anyExtendedKeyUsage の値を含めることはできない。対応するルート証明書と秘密鍵を共有するクロス証明書を除き、パブリックに信頼された証明書を発行するための下位認証局証明書においては ExtendedKeyUsage 拡張を含む必要があるが、その KeyPurposeId は、anyExtendedKeyUsage を含めないものとし、また、id-kp-serverAuth と id-kp-emailProtection を同時に同じ証明書の KeyPurposeId に含めないものとする。加入者証明書においても ExtendedKeyUsage 拡張を含む必要があり、その KeyPurposeId には anyExtendedKeyUsage を含めないものとし、id-kp-serverAuth と id-kp-emailProtection を同時に同じ証明書の KeyPurposeId として、含めないものとする。SubjectAltName 拡張は RFC5280 に準拠して入力する。SubjectAltName 拡張に承認された Subject DN のコモンネームフィールド内の値（ドメイン名または IP アドレス）を入力する。SubjectAltName 拡張は、追加の承認されたドメイン名やグローバル IP アドレスを含む場合がある。国際化ドメイン名の場合には、そのドメイン名を Punycode アルゴリズムで符号化した値を SubjectAltName 拡張内に Punycode A-ラベル値として入力する。サイバートラストは、最低でも 64 ビットの連続しない CSPRNG から出力するシリアル番号（ゼロより大きい正数）を生成する。 Technically Constrained Subordinate CA Certificate（技術的制約をかけた下位認証局）は、当該下位認証局が発行することを許可されたすべての鍵使用用途を、ExtendedKeyUsage 拡張に含むものとする。anyExtendedKeyUsage という KeyPurposeId は、パブリックに信頼された証明書の ExtendedKeyUsage には含めないものとする。本認証局、加入者、および OCSP レスポンダーの証明書については、Appendix C に定める。 BR 7.1.2.9 項に基づき、加入者証明書の Precertificate に含まれる標準領域は、順序およびエンコードされた値が加入者証明書とバイト単位で同一とする。拡張領域については、以下の Certificate Transparency 用拡張を除き、順序、Critical およびエンコードされた値がバイト単位で同一とする。 | 証明書 | Certificate Transparency 用拡張 | 型 | 値 | | -------------- | --------------------------------------------------------------------------------------- | ------------ | ------------------------------------------------------------------------- | | 加入者証明書 | SignedCertificateTimestampList (extnId :== 1 3 6 1 4 1 11129 2 4 2, critical :== FALSE) | OCTET STRING | Signed CertificateTimestamp List | | Precertificate | Precertificate Poison (extnId :== 1 3 6 1 4 1 11129 2 4 3, critical :== TRUE) | OCTET STRING | RFC 6962 の 3.1 項で規定されている ASN.1 NULL 値（16 進数表記で「0500」） | ### 7.1.3 アルゴリズムオブジェクト識別子 #### 7.1.3.1 SubjectPublicKeyInfo（サブジェクト公開鍵情報） | 種別 | algorithm identifier | OID | | ---------------------------------- | -------------------- | -------------------- | | RSA key | rsaEncryption | 1.2.840.113549.1.1.1 | | ECDSA key | id-ecPublicKey | 1.2.840.10045.2.1 | | namedCurve parameter for P-256 key | secp256r1 | 1.2.840.10045.3.1.7 | | namedCurve parameter for P-384 key | secp384r1 | 1.3.132.0.34 | #### 7.1.3.2 signatureAlgorithm（署名アルゴリズム） | 種別 | algorithm identifier | OID | | ---------------------------------- | -------------------- | -------------------- | | RSA key | rsaEncryption | 1.2.840.113549.1.1.1 | | ECDSA key | id-ecPublicKey | 1.2.840.10045.2.1 | | namedCurve parameter for P-256 key | secp256r1 | 1.2.840.10045.3.1.7 | | namedCurve parameter for P-384 key | secp384r1 | 1.3.132.0.34 | | フォントがここだけ違う。 | 本認証局および加入者の証明書については、Appendix C に定める。注意：ルート認証局は、SHA-1 ハッシュアルゴリズムを使用した下位認証局証明書を発行しない。 ### 7.1.4 名前の形式本認証局は RFC5280 の条項などで定められる、標準属性で構成される識別名を使用する。RFC5280 の 4.1.2.4 項に定めがある通り、IssuerDN フィールドの内容は、証明書チェーンをサポートするため、発行認証局の SubjectDN と同一とする。証明書には発行者名と 3.1.1 項で要件づけられている SubjectDN を含める。ルート認証局は、下位認証局の証明書に組織単位名（OU）を含めない。 OV SSL/TLS サーバー証明書においては、subjectAltName 拡張は少なくとも一つ以上の FQDN または IP アドレスを含む必要があり、それらは 3.2.2.4 項または 3.2.2.5 項に従い確認する。 EV SSL/TLS サーバー証明書においては、subjectAltName 拡張は少なくとも一つ以上の FQDN を含む必要があり、それは 3.2.2.4 項に従い確認する。また、証明書のコモンネームおよび subjectAltName には、インターナルネームまたは予約済み IP アドレスが含まれてはならない。本認証局は、証明書中の値として、 '.'（ピリオド）、' - '（ハイフン）、'　'（スペース）文字などのメタデータのみを含めてはならない。また、証明書中に、情報が存在しないこと、または不完全なこと、または該当しないことを示すような値も含めない。本認証局および加入者の証明書については、Appendix C に定める。また、EV SSL/TLS サーバー証明書は、EV ガイドライン 7.1.4.2 項で指定されている以外の Subject Distinguished Name 属性を証明書に含めない。本認証局および加入者の証明書については、Appendix C に定める。注意：ルート認証局は、SHA-1 ハッシュアルゴリズムを使用した下位認証局証明書を発行しない。 ### 7.1.5 名称の制約 SecureSign Root CA11 の下位認証局は、下位認証局証明書中の nameConstraints フィールドに名前制約を含む ### 7.1.6 証明書ポリシーオブジェクト識別子本認証局がポリシーオブジェクト識別子のいずれかを含む証明書を発行する場合、当該証明書は識別されるポリシーに従い管理されていると主張することを示す。 | ポリシー名 | OID | | -------------------------------------------------------- | ---------------------- | | SureServer EV 証明書ポリシー (EV SSL/TLS サーバー証明書) | 1.2.392.200081.1.32.1 | | SureServer 証明書ポリシー (OV SSL/TLS サーバー証明書) | 1.2.392.200081.1.32.2 | | JCSI  証明書ポリシー（※） | 1.2.392.200081.1.10.10 | | OCSP 証明書ポリシー | 1.2.392.200081.1.32.20 | | CABF EV SSL/TLS サーバー証明書ポリシー | 2.23.140.1.1 | | CABF OV SSL/TLS サーバー証明書ポリシー | 2.23.140.1.2.2 | 各認証局証明書および加入者証明書の詳細は、Appendix C に定める。 ### 7.1.7 ポリシー制約拡張の使用該当せず。 ### 7.1.8 ポリシー修飾子の構文および意味本認証局は、証明書内の証明書ポリシー拡張にポリシー修飾子フィールドを含めることがある。そのポリシー修飾子フィールド内には、簡単な記述を含めることがあり、証明書に適用される本 CP/CPS を指す URI が含まれる。本認証局および加入者の証明書については、Appendix C に定める。 ### 7.1.9 証明書ポリシー拡張についての処理方法該当せず。 ## 7.2 CRL のプロファイル失効された SSL/TLS 証明書において、CRLReason に「未指定(0)」または「証明書保留(6)」を含めない。また、CRLReason の指定がない場合は reasonCode 拡張を含めない。加入者証明書の失効において、reasonCode 拡張が含まれる場合には、RFC5280 の 5.3.1 項に記載されている下記の失効理由の中から最も適切な理由を CRLReason として指定する。また、CRLReason が以下のいずれにも該当しない場合は、reasonCode 拡張を表示しない。本認証局は各 CRLReason がどのような場合に選択されるかについて加入契約書に記載する。 1. keyCompromise (1),（秘密鍵の危殆化） 2. privilegeWithdrawn (9),（誤用、不正利用、証明書情報が不正確） 3. affiliationChanged (3),（SSL/TLS 証明書証明書情報の変更） 4. superseded (4),（SSL/TLS 証明書証明書の破棄） 5. cessationOfOperation (5),（SSL/TLS 証明書証明書の運用停止）なお、本認証局証明書の失効において reasonCode 拡張が未指定ではない場合には、下記の失効理由を CRLReason として指定する場合がある。 1. cACompromise (2),（CA 秘密鍵の危殆化） ### 7.2.1 バージョン番号本認証局は、RFC5280 に準拠したバージョン 2 の CRL を発行する。本認証局が発行する CRL については、Appendix C に定める。 ### 7.2.2 CRL、CRL エントリ拡張本認証局が発行する CRL については、Appendix C に定める。 ## 7.3 OCSP のプロファイル発行局は、RFC6960 に準拠して OCSP サービスを運用する。ルート認証局証明書、および下位認証局証明書（クロス証明書を含む）の失効に関する OCSP レスポンスでは、CertStatus の RevokedInfo 内における revocationReason フィールドに有効な値を示すものとする。また、表示される CRLReason は、本 CP/CPS7.2 節に規定にされた、CRL に含めることが許容された値を含む。 ### 7.3.1 バージョン番号本認証局が発行する CRL については、Appendix C に定める。 ### 7.3.2 OCSP 拡張本認証局が発行する CRL については、Appendix C に定める。OCSP レスポンスの　 singleExtensions には、reasonCode (OID2.5.29.21) CRL エントリ拡張を含めないものとする。 --- # 8\. 準拠性監査およびその他の評価 ## 8.1 監査の頻度および要件本認証局は、証明書種別ごとに CPA Canada により策定された WebTrust Principles and Criteria の監査基準で、外部の監査人による検証を年に一度、あるいは CTJ PA が必要と判断した時期に受けるものとする。 ## 8.2 監査人の身元/資格検証を行う監査人は、資格を有する外部の監査人が実施する。 ## 8.3 監査人と被監査者の関係監査人は、原則として認証局の業務から独立し、中立性を保つ者とする。 ## 8.4 監査の範囲監査での検証範囲については、適用される WebTrust Principles and Criteria のプログラムが定める範囲とする。本認証局は、その証明書種別に応じて適切な監査を受けるものとする。 ## 8.5 指摘事項の対応検証により発見された指摘事項は、CTJ PA、認証局責任者、発行局管理者および登録局管理者へ報告される。監査人、CTJ PA、または認証局責任者により是正措置が必要と判断された場合、CTJ PA の管理の下、是正措置を実施する。 ## 8.6 監査結果の開示 WebTrust Principles and Criteria の検証結果は、認証局が準拠する各要件に従い公開する。各監査結果は、監査結果の複写の提供により、CTJ PA およびその他の法律、規制または契約に対し資格を持つ第三者エンティティに対し報告される。サイバートラストの監査報告書の複写は、https://www.cybertrust.ne.jp/ssl/repository_rt/index.html または Bugzilla への投稿により公開する。サイバートラストは、年次で監査完了から 3 か月以内に関連する監査報告書の複製を、ルート認証局証明書が登録されるアプリケーションソフトウェアのサプライヤーに提出するものとする。 ## 8.7 内部監査下位認証局は、直近の内部監査以後に発行された加入者の証明書の１枚、または 3%以上のいずれか多い方に相当する無作為抽出されたサンプルについて、少なくとも四半期ごとに定期的な内部監査を実施する。また、2025 年 3 月 15 日以降、下位認証局は、選択されたサンプルセット内の証明書の技術的正確性を確認するために、以前に同一の証明書に対して実施されたリンティングとは独立して、リンティングを実施する。 --- # 9\. その他の業務上および法的な事項 ## 9.1 料金 ### 9.1.1 証明書の発行または更新にかかる料金下位認証局が発行する証明書に関する料金および支払方法については、サイバートラストの Web サイト上、あるいは見積書等の加入者が適切に確認できる手段により通知する。なお、サイバートラストの Web サイト上の記載と、別途サイバートラストが提出した見積書等の記載との間に齟齬がある場合には、見積書等の記載が優先的に適用されるものとする。また、下位認証局は、以下の事由により加入者から証明書の再発行を要請された場合、原則として証明書の発行後 30 日以内に限り、残存期間分の有効期間をもつ証明書を無償で再発行する。なお、元の証明書は原則失効するものとする。 1. 申請時に生成した鍵ペアが意図せずに消去・破損した場合 2. サーバーリプレースにより元の証明書が利用できない場合 3. 本 CP/CPS「4.4.1 証明書受領手続き」に基づき証明書をダウンロードする際に用いるパスワードを失念した場合 4. その他、下位認証局が認めた場合 ### 9.1.2 証明書のアクセス料金規定せず。 ### 9.1.3 失効またはステータス情報のアクセス料金規定せず。 ### 9.1.4 他サービスの料金規定せず。 ### 9.1.5 返金ポリシー本認証局は、返金について、加入契約書に別途定めるものとする。 ## 9.2 財務的責任サイバートラストは、本 CP/CPS に定める内容を遵守のうえ本認証局を運営するために、十分な財務的基盤を維持するものとする。また、賠償責任への対応に備え、適切な保険に加入する。 ### 9.2.1 保険の補償本認証局は、本 CP/CPS「9.2 財務的責任」に加え、EV ガイドライン 9.2.1 項で規定される以下の要件を満たす保険を維持するものとする。 1. 少なくとも 200 万米ドルの補償範囲のポリシー制限がある企業総合賠償責任保険（オカーレンスフォーム）。ならびに 2. 専門職業賠償責任保険。補償範囲は少なくとも 500 万米ドルであり、以下の補償範囲が含まれる。 i.作為、過失、不作為、故意ではない不履行、または証明書の発行または維持の怠慢に起因する損害の請求、および ii.第三者の所有権の侵害（著作権および商標の侵害を除く）、およびプライバシーの侵害と広告の損害から生じる損害の請求。このような保険は、Best’s Insurance Guide の最新版の保険会社の格付けに関して A-以上の格付けの会社（または各メンバーがそのように格付けされている企業の協会）のものとする。本認証局は、EV ガイドラインの許容条件に合致しないことから、自己保険（self‐insure）は行わない。 ### 9.2.2 その他の資産規定せず。 ### 9.2.3 エンドエンティティの保険または保証範囲規定せず。 ## 9.3 企業情報の機密性 ### 9.3.1 機密情報の範囲サイバートラストは、以下の情報を機密として取り扱う（以下、「機密情報」という。）。 1. 加入者からの申請情報 2. 本 CP/CPS「9.4.2 個人情報として扱われる情報」に定める情報 3. 加入者、信頼当事者、その他第三者より受けた問合せ情報 4. 認証局のセキュリティに関する情報 ### 9.3.2 機密情報の範囲外の情報サイバートラストが保有する情報のうち、以下の情報は機密情報の範囲外とする。 1. 本 CP/CPS「2.2 証明情報の公開」において公開するものとして定める情報 2. 加入者の証明書、下位認証局証明書、およびルート認証局証明書 3. サイバートラストの過失によらず公知となった情報 4. サイバートラスト以外のものから機密保持の制限なしに公知となった情報 5. 加入者から事前に開示または提供の合意を得た情報 ### 9.3.3 機密情報の保護責任サイバートラストは、機密情報の漏洩を防止する対策を実施する。また、認証局の運営に必要な場合以外には使用しない。ただし、機密情報に関して、裁判上、行政上その他の法的手続きの過程において機密情報の開示要求があった場合、買収、合併等に関連して財務アドバイザー、潜在的買収・合併当事者などサイバートラストとの間で守秘義務契約を締結した者および／または弁護士、公認会計士、税理士等の法により守秘義務を負う者に開示する場合、または加入者から事前の承諾を得た場合、サイバートラストは、当該機密情報を開示要求者に対して開示することができるものとする。この場合、開示を受ける当該開示要求者は当該情報をいかなる方法においても第三者に開示し、または漏洩させてはならない。なお、個人情報の保護の取扱いは、本 CP/CPS「9.4 個人情報の保護」に定める。 ## 9.4 個人情報の保護 ### 9.4.1 個人情報保護方針サイバートラストが保有する個人情報の取り扱いは、サイバートラストの Web サイト（https://www.cybertrust.co.jp/corporate/privacy-policy.html ）で公開するプライバシーポリシーに定める。 ### 9.4.2 個人情報として扱われる情報サイバートラストは、証明書の発行および失効申請、問合せ等に含まれる特定の個人を識別することができる情報を個人情報として扱う。なお、認証局は、信頼当事者の OCSP 要求からのデータ（IP アドレスを含む）を一般データ保護規則（「GDPR」）、規則（EU）2016/679 に従い、個人データとして扱う。サイバートラストは、サーバーログ内のこれらのデータを使用したプロファイルの作成や個人の特定は行わない。サーバーログは運用目的でのみ使用され、通常少なくとも次の監査まで保持される。その後、サイバートラストの内部ルールに従って削除される。 ### 9.4.3 個人情報とみなされない情報サイバートラストは、本 CP/CPS「9.4.2 個人情報として扱われる情報」に定める情報以外は、個人情報とみなさない。 ### 9.4.4 個人情報の保護責任サイバートラストが保有する個人情報の保護責任は、本 CP/CPS「9.4.1 個人情報保護方針」に定めるとおりとする。 ### 9.4.5 個人情報の利用に関する通知と同意サイバートラストは、加入者からの発行または失効申請をもって、認証局が本 CP/CPS で予定されている証明書発行・失効業務の履行、および認証局の監査の実施のために加入者の個人情報を使用することについて、加入者より同意が得られたものとみなす。また、サイバートラストは、加入者より得た個人情報について、認証業務を実施する目的以外で使用しない。ただし、本 CP/CPS「9.4.6 司法手続きまたは行政手続きに基づく公開」に定める場合を除くものとする。 ### 9.4.6 司法手続きまたは行政手続きに基づく公開サイバートラストで取扱う個人情報に関して、裁判上、行政上その他の法的手続きの過程において情報の開示要求があった場合、サイバートラストは、当該個人情報を開示することができるものとする。 ### 9.4.7 他の情報公開の場合サイバートラストは、業務の一部を外部に委託する場合、機密情報および個人情報を委託先に対して開示することがある。この場合、当該委託に関する契約において、当該委託先に対して機密情報および個人情報の守秘義務を課す規定を置くものとする。 ## 9.5 知的財産権特段の合意がなされない限り、以下の情報に関する全ての知的財産権は、サイバートラストまたは認証局のサービスに関するサイバートラストの仕入先またはライセンサーに帰属するものとする。 1. 本認証局が発行した証明書、証明書の失効情報 2. 本 CP/CPS および関連文書 3. 本認証局の公開鍵および秘密鍵 4. 本認証局から貸与されたソフトウェア、ハードウェア ## 9.6 表明保証以下に発行局、登録局、加入者および信頼当事者の表明保証を規定する。なお、本 CP/CPS「9.6 表明保証」で明示的に規定された発行局、登録局、加入者および信頼当事者の表明保証を除き、各当事者はいかなる明示的または黙示的な表明保証をも行わないことを相互に確認する。 ### 1.3.1 認証局の表明保証サイバートラストは、本認証局の業務遂行にあたり、以下の義務を負うことを表明し保証する。 - 関連要件および本 CP/CPS に準拠すること - 認証局秘密鍵の安全な管理を行うこと - システムの監視および運用を行うことサイバートラストは以下の義務を負うことを表明し保証する。 1. ドメイン名、IP アドレスの使用権加入者の証明書のサブジェクトフィールドおよびサブジェクト代替名拡張に含まれるドメイン名または IP アドレスに対する承認、または制御を確認する手順を実装し、その方法を本 CP/CPS に正確に記載し、実施していること 2. 証明書の承認加入者が証明書の発行を承認したこと、および加入者の代理人が加入者に代わり証明書を申請する権限を与えられていることを確認する手順を実装し、その手順を本 CP/CPS に正確に記載し、実施していること 3. 情報の正確性証明書を発行する時点で証明書に含まれる全ての情報が正確であることを確認する手順を実装し、その方法を本 CP/CPS に正確に記載し、実施していること 4. 加入者の身元証明書に含まれる加入者の身元情報について、BR3.2 節および BR7.1.2 項に従う手順を実装し、その手順を本 CP/CPS に正確に記載し、実施していることまた、EV SSL/TLS サーバー証明書においては、加入者の正式な名称が、その管轄区域内にある設立/登録機関の公式な記録上の名称と一致すると、証明書の発行時点までに確認していること 5. 加入契約加入者に最新バージョンの加入契約書を提供すること、証明書の発行時に同意した加入契約書が適用されること、およびサイバートラストと加入者は、法的または関連要件を満たす加入契約の当事者であり、双方が加入契約書に同意していること 6. ステータス 24 時間 365 日、公的にアクセス可能なリポジトリを維持し、有効期限が切れていない全ての証明書のステータス（有効/失効）に関する最新情報を提供すること 7. 失効本 CP/CPS、加入契約書、および関連要件に定められた失効事由が発生した場合、証明書を失効すること 8. 法的実在 EV SSL/TLS サーバー証明書においては、証明書が発行された日時点で、証明書に情報が含まれる組織または団体が、その組織または団体の設立または登録の管轄区域内にある設立/登録機関において、有効かつ法的に存在していることを確認した状態であること ### 9.6.2 登録局の表明保証サイバートラストは、登録局における業務の遂行にあたり、以下の義務を負うことを表明し保証する。 1. 本 CP/CPS に基づく加入者の審査を行うこと 2. 発行局への証明書発行申請および失効申請の正確な処理を行うこと 3. 問合せ受付（本 CP/CPS「1.5.2 連絡窓口」）を行うこと ### 9.6.3 加入者の表明保証加入者は、本認証局が提供するサービスの利用にあたり、以下の義務を負うことを表明し保証する。加入者は以下の義務を負うことを表明し保証する。 1. 情報の正確性証明書の発行申請時および本認証局が要求した場合を含め、常に真正かつ正確な情報を提供すること 2. 秘密鍵の保護証明書に含まれる公開鍵に対応する秘密鍵（関連するパスワードやデバイス等を含む）の管理を確保し、機密性を保ち、常に適切な保護をするための合理的な措置を講じること 3. 証明書の受領証明書に含まれる情報の正確性が確認できるまで、証明書を利用しないこと 4. 証明書の利用証明書を法令ならびに加入契約書に従い利用すること 5. 報告と失効証明書に含まれる公開鍵に対応する秘密鍵の誤用や危殆化が生じた場合、またはその疑いがある場合、速やかに証明書の利用、ならびに関連する秘密鍵の使用を停止し、失効申請を行うことまた、証明書に含まれる情報が不正確または不確かであるか、不正確または不確かになる場合、速やかに証明書の利用を停止し、失効申請を行うこと 6. 証明書の利用停止秘密鍵の危殆化を理由として証明書が失効された場合、証明書に含まれる公開鍵に対応する秘密鍵の全ての使用を直ちに停止すること 7. 応答性加入契約書に定める失効事由（秘密鍵の危殆化や証明書の悪用等）が生じた場合、指定期間内に下位認証局の指示に従うこと 8. 同意と承諾本 CP/CPS、加入契約書のいずれかに違反した、または CA/Browser Forum の要件により失効が必要な場合、下位認証局が直ちに加入者の証明書を失効する権利を持つことに同意し、それを承諾することその他、加入者は、以下の義務を負うことを表明し保証する。 - 本認証局が必要と判断した場合、本申請に加え審査上必要となる追加の情報（加入者が利用するホスティングサービス、SaaS（Software as a Service）、DaaS（Desktop as a Service）、PaaS（Platform as a Service）、IaaS（Infrastructure as a Service）等のサービス（以下、「特定サービス」という。）に関する情報または資料を含むがこれらに限られない。）を提供すること - 証明書および秘密鍵の用途の遵守 - 公序良俗に反する Web サイト、電子メールで証明書を利用しないこと - 証明書に「.」、「-」、「　」（スペース）文字などのメタデータのみ、または、値がない、不完全である、もしくは適用されないことを示す文字列を含む証明書を利用しないこと - 加入契約書に定める事由が生じたときは、速やかに失効を申請すること - 有効期間が満了した証明書および失効された証明書を利用しないこと - 関連法規制を遵守すること - 申請内容や証明書の利用状況、その他に関する本認証局からの問合せに答えること - 特定サービスの利用を終了したときは、遅滞なく認証局に通知すること ### 9.6.4 信頼当事者の表明保証信頼当事者は、以下の義務を負うことを表明し保証する。 1. 証明書が本 CP/CPS「1.4.1 適切な証明書の用途」に定める用途で利用されていることの確認を行うこと 2. 下位認証局が発行した証明書の有効期間と記載項目の確認を行うこと 3. 証明書に行われた電子署名の検証と発行者の確認を行うこと 4. CRL または OCSP により、証明書の失効の有無について確認を行うこと 5. 本項に規定された義務の不履行により発生した事態に対し、法的責任を負うこと ### 9.6.5 他の関係者の表明保証規定せず。 ## 9.7 不保証本認証局は、本 CP/CPS「9.6.1 認証局の表明保証」および「9.6.2 登録局の表明保証」に定める保証に関連して発生する直接損害以外の損害については、いかなる責任も負わない。本認証局は、信頼当事者が自らの判断で本認証局および加入者の証明書を信頼した結果については、いかなる責任も負わない。 ## 9.8 責任の制限サイバートラストは、本 CP/CPS「9.6.1 認証局の表明保証」および「9.6.2 登録局の表明保証」の内容に関し、以下の場合に一切の責任を負わないものとする。 1. 本認証局が、本 CP/CPS「1.1 概要」に明記する要件、ならびに法規制を遵守したにも関わらず発生するいかなる損害 2. サイバートラストに起因しない、不法行為、不正使用または過失等により発生するいかなる損害 3. 加入者または信頼当事者が、本 CP/CPS「9.6 表明保証」の規定に基づきそれぞれが負う義務の履行を怠ったために生じた損害 4. 下位認証局が発行した証明書に係る鍵ペアがサイバートラスト以外の第三者の行為により漏洩し生じた損害 5. 証明書が加入者、信頼当事者または第三者の著作権、営業秘密またはその他の知的財産権を侵害したことにより生じる損害 6. 現時点の予想を超えた、ハードウェア的またはソフトウェア的な暗号アルゴリズム解読技術の向上に起因する損害サイバートラストが加入者、信頼当事者またはその他の第三者に対し、証明書の申請、その承諾、信頼、またはその他の利用を行うことに関連して生ずる一切の損害について負担する賠償額の総額は、いかなる場合においても 10,000,000 円を超えないものとする（ただし、EV ガイドラインの定めに従い、EV SSL/TLS サーバー証明書について、加入者または信頼当事者が被った、法的に根拠があり、かつ立証可能な損害について、１証明書あたりの加入者または信頼当事者に対する損害額が 2,000 米ドル未満となる責任制限をしてはならない。）。この上限額は、各々の証明書に関してなされた電子署名数、取引数または損害の数に関わらず、証明書１通毎を基準に適用されるものとし、時間的に早い請求から割り当てられるものとする。また、本 CP/CPS「9.14 準拠法」に定める準拠法により認められる範囲において、本 CP/CPS、加入契約書、および関連諸規程に基づく債務不履行や契約不履行について生じる損害のうち、データ消失、得べかりし利益を含む間接損害、派生的損害、懲罰的損害に対し、本認証局は責任を負わない。 ## 9.9 補償 ### 9.9.1 加入者および信頼当事者による補償下位認証局が発行した証明書を加入者または信頼当事者が受領または利用した時点で、加入者または信頼当事者には、自らの為した以下に掲げるいずれかの行為に起因して生じた第三者からのサイバートラストに対する請求、訴訟の提起その他の法的措置によりサイバートラストが被った損害を賠償し、かつサイバートラストに損害を生ぜしめないようにする責任が生じるものとする。 1. 証明書の不正利用、改ざん、利用時の不実の表明 2. 本 CP/CPS、または加入契約書の不履行 3. 加入者の秘密鍵保全の怠慢また、下位認証局は、加入者または信頼当事者の代理人、受託者、またはその他代表者ではない。 ### 9.9.2 サイバートラストによる補償サイバートラストは、アプリケーションソフトウェアサプライヤーに対し、本認証局が発行する証明書に関連して被った全ての請求、損害および損失について、関連する訴訟原因や法理論にかかわらず、防御し、補償し、免責しなければならない。ただし、以下の通り、アプリケーションソフトウェアサプライヤーが被った当該請求、損害または損失が、アプリケーションソフトウェアサプライヤーのソフトウェアに直接起因する場合には適用されない。 1. 依然として有効である証明書をアプリケーションソフトウェアサプライヤーのソフトウェアが信頼できない証明書であると表示した場合 2. 有効期間が満了した証明書、もしくは失効されている証明書（ただし、本認証局がオンラインで失効情報を提供しているにもかかわらず、アプリケーションソフトウェアが検証に失敗した場合や、失効されているという情報を無視した場合に限る）を信頼できる証明書として表示した場合 ## 9.10 有効期間と終了 ### 9.10.1 有効期間本 CP/CPS は、CTJ PA が承認することにより有効となる。また、本 CP/CPS「9.10.2 終了」に定める時点の前に本 CP/CPS が無効となることはない。 ### 9.10.2 終了本 CP/CPS 「9.10.3 終了の影響と存続条項」に定める規定を除き、認証局が業務を終了した時点で無効となる。 ### 9.10.3 終了の影響と存続条項本 CP/CPS 9.3、9.4、9.5、9.6、9.7、9.8、9.9、9.10.2、9.10.3、9.13、9.14、9.15、9.16 の規定については本 CP/CPS の終了後も、存続するものとする。 ## 9.11 関係者間の個別通知と連絡サイバートラストから加入者に対し個別の通知を行う場合は、書面による手渡しがなされたとき、配達確認可能な郵便物により配達されたとき、または電子メールを送信したときをもって通知がなされたものとみなす。また、加入者からサイバートラストへの全ての通知は書面によりなされるものとし、当該通知が郵送され、サイバートラストが受領したときをもって到達したものとみなす。サイバートラストは、下記のいずれかの事項が発生する場合、各事項の通知を要求するアプリケーションソフトウェアサプライヤーへ事前に通知するものとする。 1. 認証局証明書の所有および管理に変更が生じる場合 2. ルートストアに組み込まれたサイバートラストの証明書に、直接的または連鎖的にチェーンする制約のない下位 CA 証明書（例：Mozilla Root Store Policy の 5.3 項に定められる）が、本認証局以外の組織によって制御される場合 3. サイバートラスト事業の所有および管理に変更がある場合 4. サイバートラストの運用に重要な変更がある場合（例：Mozilla のルートストアに組み込まれている証明書に関わる暗号化ハードウェアが、結果的に他の安全な場所へ移動された場合等） 5. 認証局の業務を終了する場合 ## 9.12 改訂 ### 9.12 改訂手続き本認証局は、本 CP/CPS の見直しと更新を少なくとも 365 日以内に一度行い、本 CP/CPS の更新を示すため、本 CP/CPS のバージョン番号を更新し、改訂履歴を記載する。また、CTJ PA の指示に基づき本 CP/CPS の改訂を行うことができる。認証局員の評価、あるいは弁護士等外部の専門家または有識者の評価を得た後、CTJ PA が改訂の承認を行う。 ### 9.12.2 通知方法と期間サイバートラストは、本 CP/CPS の改訂を CTJ PA が承認した後、改訂後および改訂前の本 CP/CPS を Web サイトに公開し、加入者および信頼当事者がその変更内容について確認できる措置を講ずる。サイバートラストから当該改訂の撤回の通知が公表されない限り、当該改訂は CTJ PA が別途定める時点をもって発効するものとする。加入者がその発効後 15 日以内に、その電子証明書の失効を請求しない場合、加入者は改訂後の本 CP/CPS につき同意したものとみなされる。 ### 9.12.3 オブジェクト識別子の変更 CTJ PA は、本 CP/CPS の改訂が OID の変更を必要とするかを判断する責任を負うものとする。 ## 9.13 紛争解決手続き本 CP/CPS が適用される認証局が発行する証明書に関連して生じた全ての訴訟については、東京地方裁判所を第一審の専属的合意管轄裁判所とする。また、本 CP/CPS に定めのない事項または疑義が生じた場合は、当事者が誠意をもって協議するものとする。 ## 9.14 準拠法本 CP/CPS の解釈に基づく認証業務にかかわる紛争については、日本国の法律が適用される。 ## 9.15 適用法の遵守本 CP/CPS に適用される全ての法令を遵守する。 ## 9.16 雑則 ### 9.16.1 完全合意条項本 CP/CPS における合意事項は、特段の定めをしている場合を除き、本 CP/CPS が改訂または終了されない限り、他の全ての合意事項より優先される。 ### 9.16.2 権利譲渡条項サイバートラストが本サービスを第三者に譲渡する場合、本 CP/CPS およびこれらに定める責務およびその他の義務の譲渡を可能とする。 ### 9.16.3 分離条項本 CP/CPS の一部の条項が、何らかの事由により無効となった場合においても、その他の条項は有効であるものとする。適用される CA/Browser Forum の要件と、サイバートラストが業務の遂行と証明書の発行を行う地域の法律、規制、または行政命令との間に矛盾が生じる場合、サイバートラストは、矛盾する要件が地域で有効かつ合法となるために必要な最小限の範囲内において、CA/Browser Forum が求める要件を修正できる。この修正は、法律、規制、または行政命令の対象となる業務または証明書発行にのみ適用される。このような修正が必要となる場合、本認証局はただちに(また修正された要件に基づいて証明書を発行する前に)、本 CP/CPS の本項に、CA/Browser Forum の要件への修正を必要としている法律、規制、または行政命令の詳細な参照と、サイバートラストによって実施された CA/Browser Forum の要件への具体的な修正を盛り込むものとする。またサイバートラストは（修正された要件に基づく証明書を発行する前に）CA/Browser Forum に対し、本 CP/CPS に新たに追加された当該修正に関する情報について、適用される要件のセクション 9.16.3 が定める手続きに従い連絡する。 ### 9.16.4 強制執行条項サイバートラストは、いずれかの当事者の行為に関連して被った損害、損失、および費用について補償および弁護士費用の支払を求めることができるものとする。サイバートラストが本 CP/CPS の何れかの規定の執行を怠った場合でも、かかる規定をサイバートラストがその後に執行する権利、または本 CP/CPS の他のいずれかの規定を執行する権利をサイバートラストが放棄したものとみなされることはないものとし、サイバートラストが署名した書面により、権利の放棄が有効となる。 ### 9.16.5 不可抗力条項天災地変、裁判所の命令、労働争議、その他認証局の責に帰さない事由により、本 CP/CPS 上の義務の履行が一部または全部を遅延した場合には、サイバートラストは当該遅延期間について本 CP/CPS 上の義務の履行を免れ、加入者または証明書の全部または一部を信頼し、もしくは利用した第三者に対し、何らの責任をも負担しない。 ## 9.17 その他の規定規定せず。 --- # Appendix A: 加入者証明書の審査方法 OV SSL/TLS サーバー証明書の審査

項目	方法
身元の確認（Identity）	下位認証局は、加入者の身元の確認をBR3.2.2.1 項に従い、公的書類・データ、下位認証局により信頼性が確保されていると判断された第三者が提供する書類・データ、および加入者より提供される書類・データを用いるほか、加入者の適切な個人もしくは加入者を構成する組織へ照会を行う。また、必要に応じ加入者への訪問調査を行う。加入者に求める確認手続きの詳細については、サイバートラストのWebサイトでの案内または加入者または手続き担当者への個別の通知により行う。
DBA/Tradename	下位認証局は、加入者の証明書に含まれる組織名が DBA/Tradename の場合、BR3.2.2.2 項に従い、公的書類・データまたは下位認証局により信頼性が確保されていると判断された第三者が提供する書類・データ等を用いて、確認する。
Country の確認	下位認証局は、BR3.2.2.3項、7.1.2.7.4項に従い、BR3.2.2.1 項で定められた方法で加入者の証明書に含まれる Country を確認するものとし、Appendix AのOV SSL/TLS サーバー証明書の「身元の確認」の方法を等しく適用する。
ドメインの承認または制御の審査	下位認証局は、証明書の発行に先立ち、BR3.2.2.4 項に従い、加入者の FQDN またはドメイン名に対する承認または制御について審査する。下位認証局は、以下のうち最低一つの方法を使用し、証明書内に記載されるそれぞれのFQDNを審査したことを確認するものとする。ただし、下位認証局は「.onion」のラベルで終わるFQDNの証明書を発行しない。全てのケースにおいて、審査は、証明書の発行に先立ち、関連のある要項（BR4.2.1項など）で指定された期間内に開始されなければならない。ドメイン名審査を目的としたとき、「加入者」という単語は、加入者の親会社、子会社を含むと定義する。下位認証局は、全てのドメイン名の審査について、BRのバージョン情報を含めどの審査方法を使用したかの記録を保持するものとする。注意：FQDNはsubjectAltName拡張にある名dNSNameを使用した加入者証明書に記載されるか、名前制約拡張内の許可されたサブツリーにあるdNSName経由の下位認証局証明書内に記載される。ランダムバリュー（BRで定義される「Random Value」を指し、以下、「ランダム値」という。）が使用される場合、下位認証局は証明書の要求に対し一意の値を発行するものとし、そのランダム値は作成日から30日以内の確認応答につき有効なものとする。また、確認済みの当該情報がある場合には、その再利用期間は、BR4.2.1項で定められた期間を超えないものとする。また、ランダム値は電子メール、FAX、SMS、または郵送でそれぞれ一意な値とする。下位認証局は、電子メール、FAX、SMS、郵送書類を再送することができ、その通信における内容と受信者が同一の場合に限り、ランダム値を再利用する。 ⑧の方法ならびに⑱を除く方法によりFQDNまたはドメイン名の審査が一度行われると、下位認証局は審査済みのFQDNで終わる全てのラベルの他のFQDNに対しても加入者の証明書を発行することができ、ワイルドカードドメイン名の申請にも適用できる。なお、下位認証局ではリクエストトークンを採用しない。ドメイン連絡先としての加入者の審査（BR3.2.2.4.1項）下位認証局はこの方法を使用しない。ドメイン連絡先への電子メール、FAX、SMS、または郵送（BR3.2.2.4.2項）下位認証局は、ランダム値を電子メール、FAX、SMS、または郵送で送付し、確認した相手からそのランダム値を含む返信を受けることにより、加入者のFQDNに対する承認または制御について審査する。ランダム値は、ドメイン連絡先として識別される電子メールアドレス、FAX、SMS番号または住所へ送付する。それぞれの電子メール、FAX、SMS、または郵送では、複数の承認ドメイン名の確認ができるものとし、また、下位認証局は、電子メール、FAX、SMSまたは郵便の受信者が、申請された全てのFQDNに含まれるドメイン名登録者を表明するものとして、ドメイン名レジストラにより確認されている場合、複数の受信者に送付する。ドメイン連絡先への電話（BR3.2.2.4.3項）下位認証局はこの方法を使用しない。ドメイン連絡先へのConstructedメールの作成（BR3.2.2.4.4項）下位認証局は、ローカルパートを「admin」、「administrator」、「webmaster」、「hostmaster」、または「postmaster」とし、以降を@マークと承認ドメイン名で作成された一つまたは複数の電子メールアドレスへ電子メールを送信する。メールにはランダム値を含め、当該ランダム値を含む返信を受けることにより、加入者のFQDNに対する承認または制御について審査する。ドメイン認可文書（BR3.2.2.4.5項）下位認証局はこの方法を使用しない。合意に基づくWebサイトの変更（BR3.2.2.4.6項）下位認証局はこの方法を使用しない。 DNSの変更（BR3.2.2.4.7項）下位認証局は、承認ドメイン名、またはアンダーバーのついたラベルを接頭辞とする承認ドメイン名のどちらかに対する、DNS CNAME、TXT、またはCAAレコードのいずれかにランダム値の存在を確認することで、加入者のFQDNに対する承認または制御について審査する。 2024年9月15日以降、下位認証局がこの方法を使用する場合、BR 3.2.2.9項に従いMulti-Perspective Issuance Corroboration を実施する。Primary Network Perspectiveと同じランダム値をremote Network Perspectiveにより取得できる場合に、Multi-Perspective Issuance Corroborationとして確認結果の裏付けを得たものとする。 IPアドレス（BR3.2.2.4.8項）下位認証局は、BR 3.2.2.5項に従い、FQDNのAまたはAAAAレコードに対するDNSルックアップから戻されるIPアドレスを加入者が制御していることを確認することで、加入者のドメイン名に対する承認または制御について審査する。 2024年9月15日以降、下位認証局がこの方法を使用する場合、BR 3.2.2.9項に従いMulti-Perspective Issuance Corroborationを実施する。Primary Network Perspectiveと同じIPアドレスをremote Network Perspectiveにより取得できる場合に、Multi-Perspective Issuance Corroborationとして確認結果の裏付けを得たものとする。注意：この方法によりFQDNの審査が行われた場合、下位認証局は許可された別の確認方法で審査を行わない限り、審査されたFQDNと同じラベルで終わる他のFQDNに対する証明書を発行してはならない。この規則はワイルドカードドメイン名の審査には適用しない。テスト証明書（BR3.2.2.4.9項）下位認証局はこの方法を使用しない。ランダム値を使用したTLS（BR3.2.2.4.10項）下位認証局はこの方法を使用しない。その他の方法（BR3.2.2.4.11項）下位認証局はこの方法を使用しない。加入者をドメインの連絡先としての審査（BR3.2.2.4.12項）下位認証局はこの方法を使用しない。 DNS CAA Contactへのメール（BR3.2.2.4.13項）下位認証局は、DNS CAAレコード記載の E-mailアドレス連絡先（DNS CAA Email Contact）へランダム値を含むメールを送信し、そのランダム値を含む返信を受けることにより、加入者のFQDNに対する承認または制御について審査する。関連するCAAリソースレコードはRFC8659で定義されている検索アルゴリズムを使用して確認する。審査する各承認ドメイン名のDNS CAA Email Contactに同じ電子メールアドレスがリストされており、それらにより各承認ドメイン名の確認がとれるのであれば、複数の承認ドメイン名についての制御を確認してよい。 2024年9月15日以降、下位認証局がこの方法を使用する場合、BR 3.2.2.9項に従いMulti-Perspective Issuance Corroborationを実施する。Primary Network Perspectiveにおいてドメイン審査に使用するために選択したE-mailアドレス連絡先をremote Network Perspectiveにより取得できる場合に、Multi-Perspective Issuance Corroborationとして確認結果の裏付けを得たものとする。 DNS TXT Contactへのメール（BR3.2.2.4.14項）下位認証局は、DNS TXTレコード記載の E-mailアドレス連絡先（DNS TXT Record Email Contact）へランダム値を含むメールを送信し、そのランダム値を含む返信を受けることにより、加入者のFQDNに対する承認または制御について審査する。審査する各承認ドメイン名のDNS TXT Record Email Contactに同じ電子メールアドレスがリストされており、それらにより各承認ドメイン名の確認がとれるのであれば、複数の承認ドメイン名についての制御を確認する。 2024年9月15日以降、下位認証局がこの方法を使用する場合、BR 3.2.2.9項に従いMulti-Perspective Issuance Corroborationを実施する。Primary Network Perspectiveにおいてドメイン審査に使用するために選択したE-mailアドレス連絡先をremote Network Perspectiveにより取得できる場合に、Multi-Perspective Issuance Corroborationとして確認結果の裏付けを得たものとする。ドメイン連絡先への電話（BR3.2.2.4.15項）下位認証局は、ドメイン連絡先(Domain Contact) の電話番号に電話して、加入者のFQDNに対する承認または制御について審査する。審査する各承認ドメイン名に同じDomain Contact電話番号がリストされており、それらにより各承認ドメイン名の確認がとれるのであれば、各電話で、複数の承認ドメイン名についての制御を確認する。ドメイン連絡先以外の誰かに電話がつながった場合には、下位認証局はドメイン連絡先への転送を求めてもよい。ボイスメールにつながった場合には、下位認証局は、ランダム値と審査中の承認ドメイン名をメッセージとして残す。 DNS TXT Record Phone Contactへの電話（BR3.2.2.4.16項）下位認証局は、DNS TXTレコード記載の電話連絡先(DNS TXT Record Phone Contact) の電話番号に電話して、加入者のFQDNに対する承認または制御について審査する。審査する各承認ドメイン名に同じDNS TXT Record Phone Contact電話番号がリストされており、それらにより各承認ドメイン名の確認がとれるのであれば、各電話で、複数の承認ドメイン名についての制御を確認する。この電話番号はドメイン名審査の目的で明確に記載されているため、下位認証局は、故意に電話を転送されたり、また、転送を求めたりしてはならない。ボイスメールにつながった場合には、下位認証局は、ランダム値と審査中の承認ドメイン名をメッセージとして残す。 2024年9月15日以降、下位認証局がこの方法を使用する場合、BR 3.2.2.9項に従いMulti-Perspective Issuance Corroborationを実施する。Primary Network Perspectiveにおいてドメイン審査に使用するために選択した電話連絡先の電話番号をremote Network Perspectiveにより取得できる場合に、Multi-Perspective Issuance Corroborationとして確認結果の裏付けを得たものとする。 DNS CAA Phone Contactへの電話（BR3.2.2.4.17項）下位認証局は、DNS CAAレコード記載の電話連絡先(DNS CAA Phone Contact) の電話番号に電話して、加入者のFQDNに対する承認または制御について審査する。関連するCAAリソースレコードは、RFC8659で定義されている検索アルゴリズムを使用して確認する。審査する各承認ドメイン名に同じDNS CAA Phone Contactに同じ電話番号がリストされており、それらにより各承認ドメイン名の確認がとれるのであれば、各電話で、複数の承認ドメイン名についての制御を確認する。この電話番号はドメイン名審査の目的で明確に記載されているため、下位認証局は、故意に電話を転送されたり、また、転送を求めたりしてはならない。ボイスメールにつながった場合には、下位認証局は、ランダム値と審査中の承認ドメイン名をメッセージとして残す。下位認証局は、ランダム値が返された場合に申請を承認する。 2024年9月15日以降、下位認証局がこの方法を使用する場合、BR 3.2.2.9項に従いMulti-Perspective Issuance Corroborationを実施する。Primary Network Perspectiveにおいてドメイン審査に使用するために選択した電話連絡先の電話番号をremote Network Perspectiveにより取得できる場合に、Multi-Perspective Issuance Corroborationとして確認結果の裏付けを得たものとする。合意に基づくWebサイトの変更 v2（BR3.2.2.4.18項）下位認証局は、ランダム値が、ファイルの内容に含まれていることを確認することにより、加入者のFQDNに対する承認または制御について審査する。ランダム値が、ファイルの取得に使用される要求に現れていないこと。 HTTPリクエストを送信し、成功したステータスコードの受信（HTTPステータスコード2xx）を確認する。ランダム値が含まれるファイルは、以下について審査する。承認ドメイン名の下に配置されていること。「/.well‐known/pki‐validation」ディレクトリ下に配置されていること。「HTTP」または「HTTPS」スキームにより取得できること。認可されたポートを介してアクセスできること。リダイレクトで確認する場合、以下について審査する。リダイレクトは、HTTPプロトコル層により開始されること。リダイレクトは、RFC7231の6.4節に定めるHTTPステータスコード301、302、または307、およびRFC7538の3章で定めるHTTPステータスコード308のいずれかによらなければならない。また、リダイレクト先はRFC7231の7.1.2項に定めるロケーションHTTP応答ヘッダーの最終値でなければならない。リダイレクトは、「HTTP」または「HTTPS」スキームで表されるリソースURL へのものであること。リダイレクトは、認可されたポートを介してアクセスされるリソースURLへのものであること。ランダム値が使用される場合、以下について審査する。下位認証局は、証明書の要求に対し、一意のランダム値を発行する。ランダム値は、ランダム値の作成日から30日以内の確認応答につき有効とする。 2024年9月15日以降、下位認証局がこの方法を使用する場合、BR 3.2.2.9項に従いMulti-Perspective Issuance Corroboration を実施する。Primary Network Perspectiveと同じランダム値をremote Network Perspectiveにより取得できる場合に、Multi-Perspective Issuance Corroborationとして確認結果の裏付けを得たものとする。注意：この方法を使用する場合、申請されたFQDN毎に審査を行うものとし、審査済みのFQDNで終わる全てのラベルの他のFQDNに対しても個別の審査を行わない限り、証明書を発行しない。また、この方法はワイルドカードドメイン名の申請には適用しない。合意に基づくWebサイトの変更 – ACME（BR3.2.2.4.19項）下位認証局はこの方法を使用しない。 ALPNを使用したTLS 下位認証局では使用しない。
IPアドレスの確認	下位認証局は、証明書の発行に先立ち、BR3.2.2.5項に従い、加入者のIPアドレスに対する制御について審査する。下位認証局は、以下のうち最低一つの方法を使用し、証明書内に記載されるそれぞれのIPアドレスを審査したことを確認するものとする。全てのケースにおいて審査は、証明書の発行に先立ち、関連のある要項（BR4.2.1項など）で指定された期間内に開始されなければならない。IPアドレス審査を目的としたとき、「加入者」という単語は、加入者の親会社、子会社を含むと定義する。下位認証局は、全てのIPアドレスの審査について、BRのバージョン情報を含めどの審査方法を使用したかの記録を保持するものとする。注意：本3.2.2.5項により確認されたIPアドレスは、名前制約拡張内の許可されたサブツリー内のIPアドレスを介して、BR7.1.4.2項で定められたとおりに加入者証明書および下位認証局証明書に記載してもよい。下位認証局証明書の記載には、名前制約拡張内の除外されたサブツリー内のIPアドレスを介して、検証する必要はない。ランダム値が使用される場合、下位認証局は証明書の要求に対し一意のランダム値を発行するものとし、そのランダム値は作成日から30日以内の確認応答につき有効なものとする。また、確認済みの当該情報がある場合には、その再利用期間は、BR4.2.1項で定められた期間を超えないものとする。なお、下位認証局ではリクエストトークンを採用しない。合意に基づくWebサイトの変更（BR3.2.2.5.1項）下位認証局は、認可されたポートを介したHTTP / HTTPS経由で"/.well‐known/pki‐validation"ディレクトリの下のメタタグ形式、またはIPアドレス検証の目的でIANAに登録した他のパスのいずれかでアクセス可能なIPアドレスを確認し、ランダム値の存在を確認することにより、加入者のIPアドレスに対する承認または制御について審査する。ランダム値が要求に現れてはならない。 2024年9月15日以降、下位認証局がこの方法を使用する場合、BR 3.2.2.9項に従いMulti-Perspective Issuance Corroboration を実施する。Primary Network Perspectiveと同じランダム値をremote Network Perspectiveにより取得できる場合に、Multi-Perspective Issuance Corroborationとして確認結果の裏付けを得たものとする。 IPアドレス連絡先への電子メール、FAX、SMS、または郵送（BR3.2.2.5.2項）下位認証局はこの方法を使用しない。逆IPアドレス検索（BR3.2.2.5.3項）下位認証局は、IPアドレスの逆IPルックアップを通じて、IPアドレスに関連づけられたドメイン名を取得し、本CP/CPS「3.2.2.4ドメインの承認または制御の審査」で許可されている方法を使用し、加入者がFQDNを制御していることを確認することで、加入者のIPアドレスに対する承認または制御について審査する。 2024年9月15日以降、下位認証局がこの方法を使用する場合、BR 3.2.2.9項に従いMulti-Perspective Issuance Corroborationを実施する。Primary Network Perspectiveと同じFQDNをremote Network Perspectiveにより取得できる場合に、Multi-Perspective Issuance Corroborationとして確認結果の裏付けを得たものとする。その他の方法（BR3.2.2.5.4項）下位認証局はこの方法を使用しない。 IPアドレス連絡先へ電話（BR3.2.2.5.5項）下位認証局はこの方法を使用しない。 ACME “http-01” method for IP Addresses（BR3.2.2.5.6項）下位認証局はこの方法を使用しない。 ACME “tls-alpn-01” method for IP Addresses（BR3.2.2.5.7項）下位認証局はこの方法を使用しない。
権限および承認の確認	下位認証局は、BR3.2.5項に従い申請責任者の在職および加入者を代表して申請を行う権限を有することを確認する。また、下位認証局は、申請責任者が加入契約書に同意し、手続き担当者による発行申請を承認しているということを、申請責任者への電話、または電話確認に相当する通信手段により確認する。申請責任者への確認に使用する通信手段の確認は、OV SSL/TLSサーバー証明書の「身元の確認」で確認したデータを使用してもよい。
ハイリスクの確認	下位認証局は、BR4.2.1項に従い、フィッシング、証明書の詐欺的な利用、またはその懸念があるために、過去に失効された証明書および発行拒否した証明書申請の全てについて内部データを維持し、その情報を以降の疑わしき証明書申請を識別するために使用し、該当した場合はハイリスクと判断する。加えて、下位認証局が適切だと判断したフィッシングやその他の不正使用などのハイリスクデータベースを使用し、加入者の申請がハイリスクに当該するかを確認し、ハイリスクに該当すると判断した場合はそれぞれの要件の下で適切に検証されることを保証するため、追加の審査を行う。また、加入者が政府により禁止リストに含められている場合、または認証局が設立されている国の法令で禁輸措置等に該当しているかを確認し、該当する場合、証明書の発行を行わない。
審査情報の再利用期間	下位認証局はBR3.2節に基づき入手した審査の文書およびデータ、または過去の審査結果（ドメイン名、IPアドレスの承認、または制御についての審査結果を含む）を初回の審査完了から398日未満の期間において再利用し、複数の証明書発行に有効とする。また、再利用期間を経過した後の申請においては、再度審査を行う。

EV SSL/TLS サーバー証明書の審査

項目	方法
身元の確認（Identity）	下位認証局は、EVガイドライン3.2.2.2項、3.2.2.4項、3.2.2.6項、ならびにAppendix D-1 Japanに基づき、加入者の実在と身元（Identity）を何れかの方法で確認する。法人設立機関または登録機関の記録、または加入者が政府機関の場合は加入者の上位の政府機関（設立機関又は登記機関、及び QTIS を含むQGIS）への確認 QIISによる確認確認済みのプロフェッショナルレターによる確認加えて、EVガイドライン3.2.2.6項に基づき事業の存在を以下のいずれかの方法で確認する。法人設立機関または登録機関の記録によって、設立から少なくとも3年間は存在していることを確認する加入者、関連会社、親会社、または子会社が現在のQIIS、またはQTIS のいずれかにリストされていることを確認 QIISにより加入者を確認加入者が有効な現在の金融機関の預金口座を持つことを確認した弁護士等の意見書により確認
DBA/Tradenameの確認	下位認証局は、DBA /トレードネームを含むEV SSL/TLSサーバー証明書を発行しない。
Countryの確認	下位認証局は、EVガイドライン3.2.2.4項、7.1.4.2.6項に基づき加入者のCountryを確認するものとし、その審査方法はAppendix AのEV SSL/TLSサーバー証明書の「身元の確認」に定める方法を等しく適用する。
ドメインの承認または制御の確認	下位認証局は、EVガイドライン3.2.2.7項に基づき、BR3.2.2.4項に従い、加入者のドメイン名の使用権を確認するものとし、その審査方法はAppendix AのOV SSL/TLSサーバー証明書の「ドメインの承認または制御の確認」に定める方法を等しく適用する。加えて、EV SSL/TLSサーバー証明書の申請において、混合文字を含むドメイン名と既存の危険度の高いドメイン名を視覚的に比較し類似性が観察された場合、ハイリスクの申請と判断し、加入者がリスクの高い標的組織でないことを確認するため、合理的に適切な追加の認証および確認を実施する。下位認証局はIPアドレスを含むEV SSL/TLSサーバー証明書を発行しない。
権限および承認の確認	下位認証局は、EVガイドライン3.2.2.8項、3.2.2.9項に基づき加入者の権限を確認する。下位認証局は、申請責任者の名前、役職、および申請責任者が加入者を代表して、申請を行う権限、ならびに加入契約書に署名する権限を持つことを加入者の適切な部署の担当者に確認する。また、EVガイドライン3.2.2.10項に従い下位認証局は、申請責任者へ加入契約書に署名したこと、ならびに手続き担当者による発行申請を承認していることを確認済みの通信方法を使い、申請責任者へ確認する。申請責任者への確認に使用する通信方法は、EVガイドライン3.2.2.5項に従い、以下のいずれかで確認可能な電話番号、電子メールアドレス、郵送先住所とする。該当する電話会社から提供された記録 QGIS、QTIS、または QIIS 検証済みプロフェッショナル・レター
ハイリスクの確認	下位認証局は、EVガイドライン3.2.2.12.1項に従い、ハイリスクの確認を行う。その審査方法はAppendix AのOV SSL/TLSサーバー証明書の「ハイリスクの確認」に定める方法を等しく適用する。加えて、加入者が政府により禁止リストに含められている場合、または認証局が設立されている国の法令で禁輸措置等に該当しているかを確認し、該当する場合、EV SSL/TLSサーバー証明書の発行を行わない。また、EVガイドライン3.2.2.7項に従い、混合文字を含むドメイン名と既存の危険度の高いドメイン名を視覚的に比較し類似性が観察された場合、ハイリスクの申請と判断し、加入者がリスクの高い標的組織でないことを確認するため、合理的に適切な追加の認証および確認を実施する。
審査情報の再利用期間	下位認証局はEVガイドライン3.2節に従い入手した審査の文書およびデータ、または過去の審査（ドメイン名の承認、または制御についての審査結果を含む）をEVガイドラインで別途認められている場合を除き、初回の審査完了から398日未満で再利用する。複数の証明書発行に有効とする。また、再利用期間を経過した後の申請においては、再度審査を行う。

--- # Appendix B:用語の定義

用語	定義
アーカイブ	本書でのアーカイブとは、使用期限が過ぎたものを所定の期間保管することをいう。
アプリケーションソフトウェアサプライヤー	証明書を表示または利用し、ルート認証局証明書を組み込み、ルートストアプログラムに参加するための要件の全てまたは一部としてCA/Browser Forumの要件を採用するソフトウェア、またはその他の信頼当事者のアプリケーションソフトウェアのサプライヤー。
暗号モジュール	秘密鍵の生成、保管、使用等において、セキュリティを確保する目的で使用されるソフトウェア、ハードウェア、またはそれらを組み合わせた装置である。
一時停止	証明書の有効期間中、証明書の有効性を一時的に無効とする措置である。
会社法人等番号（Corporate identification number）	商業登記法（https://www.japaneselawtranslation.go.jp/ja/laws/view/4186）により、会社、法人などの識別番号として付番される12桁の番号であり、以下のサイトで確認できる番号をいう。 http://www.moj.go.jp/MINJI/minji06_00076.html
鍵サイズ	鍵のサイズをビット数（桁数）で表したもので、暗号強度を決定する一要素である。
鍵ペア	公開鍵暗号方式における公開鍵および秘密鍵である。2つの鍵は、一方の鍵から他方の鍵を導き出せない性質を持つ。
活性化	システムや装置等を使用可能な状態にすることである。活性化には活性化データを必要とし、具体的にはPINやパスフレーズ等が含まれる。
加入契約書	証明書を申請、利用するために加入者が同意する契約書である。本CP/CPSは、加入契約書の一部となる。
危殆化	秘密鍵および秘密鍵に付帯する情報の機密性または完全性が失われる状態である。
公開鍵	公開鍵暗号方式における鍵ペアの一つで、通信相手等の他人に知らせて使用される鍵である。
サブジェクト	証明書内でサブジェクトとして識別される組織。サブジェクトは加入者の名称であるものとする。
失効	証明書が有効期間中であっても、証明書を無効とする措置である。
証明書管理システム	認証局、または委託された第三者が、証明書の発行承認、または保存の処理に使用するためのシステム。同システムには、データベース、データベースサーバー、およびストレージなどの証明書ステータス情報を含む。
証明書失効リスト	英語ではCertificate Revocation Listであり、本CP/CPSではCRLという。CRLは、失効された証明書のリストである。本認証局は、信頼当事者が証明書の有効性を確認するために、CRLを公開する。
証明書システム	認証局、または委託された第三者が、本人性確認の審査、加入者の登録および加入手続き、証明書の承認、発行、有効性ステータスの提供、ならびにサポート、およびその他PKI関連サービスの提供に使用するシステム。
登録識別子	法人設立/登録の管轄ために区域において、法人設立/登録管轄業者により申請法人に割り振られた一意なコード。
認証業務	証明書のライフサイクル管理を行う上での一連の業務をいう。発行・失効の申請受付業務、審査業務、発行・失効・棄却業務、問合対応業務、請求業務、本認証局のシステムの維持管理業務を含むが、これらに限定されない。
バックアップサイト	災害時等における事業継続性を担保するために、証明書の発行、失効に必要な本認証局の重要な資産をメインサイトとは別に保管する施設である。
秘密鍵	公開鍵暗号方式における鍵ペアの一つで、加入者以外の第三者には知られないように秘密にしておく鍵である。
法人番号（Corporate Number）	国税庁が法人、およびその他の団体に対して指定される13桁の識別番号であり、以下のサイトで公表される番号をいう。 https://www.houjin-bangou.nta.go.jp/
メインサイト	証明書の発行、失効に必要な本認証局の資産が設置される施設である。
預託	本CP/CPSでの預託とは、秘密鍵または公開鍵を第三者に登録保管することである。
リポジトリ	本CP/CPSやCRL等、公開情報を掲載するWebサイトやシステムである。
リンティング	Precertificate、証明書、CRL、OCSPレスポンスなどのデジタルに署名されたデータ、またはRFC5280の4.1.1.1項で説明されるtbsCertificateなどの署名対象データオブジェクトの内容が、BRで定めるプロファイルおよび要件に準拠しているかどうかを確認する処理である。
ACME	Automated Certificate Management Environmentの略であり、X.509証明書のドメイン検証、インストール、および管理を自動化するための標準プロトコルである。
ALPN	Application-Layer Protocol Negotiationの略でありTLSの拡張機能である。
Apple Root Certificate Program	Apple製品において、ルート認証局証明書として信頼され組み込まれるために、Appleがルート認証局に課す基準である。
Baseline Requirements for the Issuance and Management of Publicly-Trusted TLS Server Certificates (BR)	CA/Browser Forumにより策定された、パブリックに信頼される証明書を発行するための要件である。

CA/Browser Forum	パブリックに信頼されるSSL/TLS通信のための証明書等を発行する認証局や、ブラウザ等のアプリケーションを開発する事業者により構成される団体であり、証明書に関する規格等を策定する。同団体のWebサイトはhttps://cabforum.org/。
Certificate Transparency	RFC6962で規格化された、不正な証明書を早期に発見・検知するための仕組みである。
Chrome Root Program Policy	Google製品において、ルート認証局として信頼され組み込まれるために、Googleがルート認証局に課す基準である。
DBA/Tradename	組織の法的名称以外の通称、商号、屋号等を指す。
Distinguished Name	ITU-Tが策定したX.500勧告において定められた識別名である。コモンネーム、組織名、国名等の属性情報で構成される。
DNS CAA Email Contact	BR APPENDIX A （A.1.1）で定義されている電子メールアドレス。
DNS CAA Phone Contact	BR APPENDIX A （A.1.2）で定義されている電話番号。
DNS Certification Authority Authorization Resource Record（CAAレコード）	ドメイン名に対して、証明書の発行を行う認証局を明確にし、意図しない証明書の発行を防ぐことを目的としたRFC8659およびRFC9495で定義されているDNSレコードの一つである。
DNS TXT Record Email Contact	BR APPENDIX A （A.2.1）で定義されている電子メールアドレス。
DNS TXT Record Phone Contact	BR APPENDIX A （A.2.2）で定義されている電話番号。
Extended Validation Certificate（EV証明書）	CA/Browser Forumが定める「Guidelines for the Issuance and Management of Extended Validation Certificates」に基づき発行されるSSL/TLS通信におけるサーバーの認証に用いられるEV SSL/TLSサーバー証明書をいう。
FIPS 140-2	FIPS（Federal Information Processing Standards Publication 140)は、暗号モジュールに関するセキュリティ要件の仕様を規定する米国連邦標準規格である。同規格では、セキュリティ要件によりレベルを1（最低）～4（最高）に分類している。
Fully-Qualified Domain Name（FQDN）	ドメイン名に対し、サブドメイン名およびホスト名を付加したもので、証明書に含まれる。
Guidelines for the Issuance and Management of Extended Validation Certificates（EVガイドライン）	CA/Browser Forumにより策定された、EV SSL/TLSサーバー証明書を発行するための要件である。
IETF PKIX ワーキンググループ	Internet Engineering Task Force（IETF）は、インターネットで利用される技術を標準化する組織であり、同組織のPKIX ワーキンググループがRFC3647を定めた。
IP Address	通信にインターネットプロトコルを使用するデバイスに割り当てられている32ビットまたは128ビットのラベル。
ITU-T	国際電気通信連合の電気通信標準化部門である。
LEI （Legal Entity Identifier：取引主体識別子）	国際標準化機構（ISO）が定めた金融商品の取引を行う当事者を単一に識別するための国際的な識別子
Mozilla Root Store Policy	Mozilla 製品において、ルート認証局証明書として信頼され組み込まれるために、Mozilla がルート認証局に課す基準である。
Multi-Perspective Issuance Corroboration	証明書を発行する前に行われるドメイン審査やCAAの確認の審査結果について、複数の異なるNetwork Perspectiveを用いて同じ結果が得られることを確認するための処理を指す。この処理によりBGP（Border Gateway Protocol）ハイジャックなどの攻撃を防ぎ、審査結果の信頼性を向上させる。 Network Perspectiveとは、一部の審査に必要な情報を取得するための、ネットワーク上で稼働するシステムを指す。主要で用いるNetwork PerspectiveをPrimary Network Perspectiveといい、遠隔地で稼働するNetwork Perspectiveをremote Network Perspectiveという。
Name Constraints	認証局の証明書に、Key Usage 拡張およびName Constraint（名前制約）拡張を登録し、加入者証明書の発行に制約をかけることである。
Network and Certificate System Security Requirements	CA/Browser Forumにより策定された、パブリックに信頼される証明書のネットワークおよび証明書システムのセキュリティに関する要件である。
OCSP	Online Certificate Status Protocolの略であり、証明書の失効情報を提供するための通信プロトコルである。本認証局では、信頼当事者が証明書の有効性を確認するために、CRLの公開に加え、必要に応じOCSPレスポンダーを運用する。
Precertificate	Certificate Transparency の規格であるRFC6962で言及されている証明書。
Punycode	RFC 3492で定義される国際化ドメイン名（Internationalized Domain Name: IDN）で使われる文字符号化方式である。Punycodeの符合化方式に従ってASCII文字に変換した結果にACEプレフィックス（接頭辞）「xn--」を付加したラベルを「Aラベル（A-label）」という。
RFC7231	IETF PKIXワーキンググループが定めるHTTP/1.1 メッセージの意味を定義した文書「Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content」である。
RFC7538	IETF PKIXワーキンググループが定める追加のハイパーテキスト転送プロトコル（HTTP）ステータスコード308（Permanent Redirect）を定義した文書「The Hypertext Transfer Protocol Status Code 308 (Permanent Redirect)」である。
RSA	Rivest、Shamir、Adelmanの3人が開発した公開鍵暗号方式である。
SHA1/SHA256	電子署名等に使用されるハッシュ関数である。ハッシュ関数は、データを数学的な操作により一定の長さに縮小させるものであり、異なる2つの入力値から同じ出力値を算出することを困難とする特性を持つ。また、出力値から入力値を逆算することは不可能である。
SSL/TLS	Netscape Communicationsが開発したインターネット上で情報を暗号化して送受信するプロトコルである。TLSはSSL 3.0へ改良を加えたものである。
Technically Constrained Subordinate CA	Baseline Requirements に定義されているTechnically Constrained Subordinate CA Certificate（技術的制約をかけた中間認証局証明書）、すなわち当該証明書中にKey Usage 拡張子およびName Constraint（名前制約）拡張子を登録し加入者証明書の発行に制約をかけた中間認証局証明書を利用する中間認証局をいう。
WebTrust Principles and Criteria	CPA Canadaにより制定された、認証局の運営についての適切性と有効性を評価するための監査基準である。
X.500	ITU-Tにより規格化されたネットワーク上での分散ディレクトリサービスの国際標準である。
X.509	ITU-Tにより規格化された電子証明書の国際標準である。

--- # Appendix C:証明書等のプロファイル 1. ルート認証局証明書 1-1) SecureSign Root CA11 （標準領域）

version		値
Version	電子証明書フォーマットのバージョン番号
	値：INTEGER	2 (Ver.3)
serialNumber		値
CertificateSerialNumber	電子証明書のシリアル番号
	型：INTEGER	1 (0x01)
signature		値
AlgorithmIdentifier	電子証明書への署名に使用された署名アルゴリズムの識別子
algorithm	署名アルゴリズムのオブジェクトID(SHA-1)
	型：OID	1.2.840.113549.1.1.5
parameters	署名アルゴリズムの引数
	型：NULL	NULL
issuer		値
countryName	電子証明書発行者の国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
organizationName	電子証明書発行者の組織名
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値
	型：PrintableString	Japan Certification Services, Inc.
commonName	電子証明書発行者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値
	型：PrintableString	SecureSign RootCA11
validity		値
Validity	電子証明書の有効期間
notBefore	開始日時
	型：UTCTime	090408045647Z
		2009年4‎月8‎日 04:56:47(GMT)
notAfter	終了日時
	型：UTCTime	290408045647Z
		2029‎年4‎月8‎日 04:56:47(GMT)
subject		値
countryName	電子証明書所有者の国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
organizationName	電子証明書所有者の組織名
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値
	型：PrintableString	Japan Certification Services, Inc.
commonName	電子証明書発行者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値
	型：PrintableString	SecureSign RootCA11
subjectPublicKeyInfo		値
SubjectPublicKeyInfo	電子証明書所有者の公開鍵情報
AlgorithmIdentifier	暗号アルゴリズムの識別子
algorithm	暗号アルゴリズムのオブジェクトID
	型：OID	1.2.840.113549.1.1.1 (rsaEncryption)
parameters	暗号アルゴリズムの引数
	型：OID	NULL
subjectPublicKey	公開鍵値
	型：BIT STRING	＊2048bitサイズの公開鍵

（拡張領域）

subjectKeyIdentifier (extnId :== 2 5 29 14，critical :== FALSE)		値
SubjectKeyIdentifier	電子証明書所有者の公開鍵に関する情報
KeyIdentifier	公開鍵の識別子
	型：OCTET STRING	5BF84D4FB2A586D43AD2F1639AA0BE09F657B7DE
keyUsage (extnId :== 2 5 29 15，critical :== TRUE)		値
KeyUsage	鍵用途
	型：BIT STRING	00000110 (0x06) (keyCertSign,cRLSign)
basicConstraints (extnId :== 2 5 29 19，critical :== TRUE)		値
BasicConstraints	基本的制約
cA	ＣＡかどうかを示すフラグ
	型： BOOLEAN	TRUE

1-2) SecureSign Root CA12 (RCA12) 1-3) SecureSign Root CA14 (RCA14) 1-4) SecureSign Root CA15 (RCA15) （標準領域）

version		値
Version	電子証明書フォーマットのバージョン番号
	型：INTEGER	2 (Ver.3)
serialNumber		値
CertificateSerialNumber	電子証明書のシリアル番号	＊以下のいずれかの値
	型：INTEGER	RCA12: 587887345431707215246142177076162061960426065942 (0x66F9C7C1AFECC251B4ED5397E6E682C32B1C9016)
		RCA14: 575790784512929437950770173562378038616896959179 (0x64DB5A0C204EE8D72977C85027A25A27DD2DF2CB)
		RCA15: 126083514594751269499665114766174399806381178503 (0x1615C7C3D849A7BE690C8A88EDF070F9DDB73E87)
Signature		値
AlgorithmIdentifier	電子証明書への署名に使用された署名アルゴリズムの識別子
algorithm	署名アルゴリズムのオブジェクトID	＊以下のいずれかの値
	型：OID	RCA12: 1.2.840.113549.1.1.11 (sha256WithRSAEncryption)
		RCA14 1.2.840.113549.1.1.12 (sha384WithRSAEncryption)
		RCA15: 1.2.840.10045.4.3.3 (ecdsa-with-SHA384)
parameters	署名アルゴリズムの引数	＊RCA12, RCA14のみ
	型：NULL	NULL
Issuer		値
countryName	電子証明書発行者の国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
organizationName	電子証明書発行者の組織名
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値
	型：PrintableString	Cybertrust Japan Co., Ltd.
commonName	電子証明書発行者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値	＊以下のいずれかの値
	型：PrintableString	RCA12: SecureSign Root CA12
		RCA14: SecureSign Root CA14
		RCA15: SecureSign Root CA15
Validity		値
Validity	電子証明書の有効期間
notBefore	開始日時	＊以下のいずれかの値
	型：UTCTime	RCA12: 200408053646Z (‎2020‎年‎4‎月‎8‎日 14:36:46 JST)
		RCA14: 200408070619Z (‎2020‎年‎4‎月‎8‎日 16:06:19 JST)
		RCA15: 200408083256Z (‎2020‎年‎4‎月‎8‎日 17:32:56 JST)
notAfter	終了日時	＊以下のいずれかの値
	型：UTCTime	RCA12: 400408053646Z (‎2040‎年‎4‎月‎8‎日 14:36:46 JST)
		RCA14: 450408070619Z (‎2045‎年‎4‎月‎8‎日 16:06:19 JST)
		RCA15: 450408083256Z (‎2045‎年‎4‎月‎8‎日 17:32:56 JST)
Subject		値
countryName	電子証明書所有者の国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
organizationName	電子証明書所有者の組織名
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値
	型：PrintableString	Cybertrust Japan Co., Ltd.
commonName	電子証明書所有者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値	＊以下のいずれかの値
	型：PrintableString	RCA12: SecureSign Root CA12
		RCA14: SecureSign Root CA14
		RCA15: SecureSign Root CA15
subjectPublicKeyInfo		値
SubjectPublicKeyInfo	電子証明書所有者の公開鍵情報
AlgorithmIdentifier	暗号アルゴリズムの識別子
algorithm	暗号アルゴリズムのオブジェクトID	＊以下のいずれかの値
	型：OID	RCA12, RCA14 1.2.840.113549.1.1.1 (rsaEncryption)
		RCA15: 1.2.840.10045.2.1 (id-ecPublicKey)
parameters	暗号アルゴリズムの引数	＊以下のいずれかの値
	型：OID	RCA12, RCA14 NULL
		RCA15: 1.3.132.0.34 (secp384r1)
subjectPublicKey	公開鍵値	＊以下のいずれかの値
	型：BIT STRING	RCA12: *2048bitサイズの公開鍵
		RCA14 *4096bitサイズの公開鍵
		RCA15: *384bitサイズの公開鍵

（拡張領域）

basicConstraints (extnId :== 2 5 29 19, critical :== TRUE)		値
BasicConstraints	基本制約
cA	CAかどうかを示すフラグ
	型：BOOLEAN	TRUE
keyUsage (extnId :== 2 5 29 15, critical :== TRUE)		値
KeyUsage	鍵用途
	型：BIT STRING	00000110 (0x06) (keyCertSign, cRLSign)
subjectKeyIdentifier (extnId :== 2 5 29 14, critical :== FALSE)		値
SubjectKeyIdentifier	電子証明書所有者の公開鍵に関する情報
KeyIdentifier	公開鍵の識別子	＊以下のいずれかの値
	型：OCTET STRING	RCA12: 5734F374CF044BD525E6F140B62C4CD92DE9A0AD
		RCA14: 0693A30A5E286937AA611DEBEBFC2D6F23E4F3A0
		RCA15: EB41C8AEFCD59E5148F5BD8BF4872093412BD3F4

2. 下位認証局証明書 2-1) JCSI TLSSign Public CA (標準領域)

version		値
Version	電子証明書フォーマットのバージョン番号
	型：INTEGER	2 (Ver.3)
serialNumber		値
CertificateSerialNumber	電子証明書のシリアル番号
	型：INTEGER	669394234770181081919879261157056934939221937491 (0x7540acf59d071d7a7ecafc2fb965a7d11415cd53)
signature		値
AlgorithmIdentifier	電子証明書への署名に使用された署名アルゴリズムの識別子
algorithm	署名アルゴリズムのオブジェクトID
	型：OID	1.2.840.113549.1.1.11 ( sha256WithRSAEncryption)
parameters	署名アルゴリズムの引数
	型：NULL	NULL
issuer		値
countryName	電子証明書発行者の国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
organizationName	電子証明書発行者の組織名
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値
	型：PrintableString	Japan Certification Services, Inc.
commonName	電子証明書発行者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値
	型：PrintableString	SecureSign RootCA11
validity		値
Validity	電子証明書の有効期間
notBefore	開始日時
	型：UTCTime	181011013633Z (2018‎年10‎月11日 1:36:33 GMT)
notAfter	終了日時
	型：UTCTime	290408045647Z (2029‎年4‎月‎8日 4:56:47 GMT)
subject		値
countryName	電子証明書所有者の国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
organizationName	電子証明書所有者の組織名
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値
	型：PrintableString	Cybertrust Japan Co.,Ltd.
commonName	電子証明書所有者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値
	型：PrintableString	JCSI TLSSign Public CA
subjectPublicKeyInfo		値
SubjectPublicKeyInfo	電子証明書所有者の公開鍵情報
AlgorithmIdentifier	暗号アルゴリズムの識別子
algorithm	暗号アルゴリズムのオブジェクトID
	型：OID	1.2.840.113549.1.1.1 (rsaEncryption)
parameters	暗号アルゴリズムの引数
	型：NULL	NULL
subjectPublicKey	公開鍵値
	型：BIT STRING	2048bitサイズの公開鍵

（拡張領域）

basicConstraints (extnId :== 2 5 29 19，critical :== TRUE)		値
BasicConstraints	基本的制限
cA	ＣＡかどうかを示すフラグ
	型：BOOLEAN	TRUE
pathLenConstraint	パス長の制約
	型：INTEGER	0
certificatePolicies (extnId :== 2 5 29 32，critical :== FALSE)		値
PolicyInformation	ポリシーに関する情報
policyIdentifier	ポリシーのオブジェクトID
	型：OID	2.5.29.32.0 (anyPolicy)
policyQualifiers	ポリシー修飾子
PolicyQualifierID	ポリシー修飾子の種別
	型：OID	1.3.6.1.5.5.7.2.1 (CPSuri)
Qualifier	CPSが公開されているURI
	型：IA5String
		https://www.cybertrust.ne.jp/jcsi/repository.html
Name Constraints (extnId :== 2.5.29.30，critical :== TRUE)		値
Name Constraints	名前制限
Permitted Names	dNSName	.managedpki.ne.jp
	ディレクトリ名	O=Cybertrust Japan Co.,Ltd., L=Minato-ku, ST=Tokyo, C=JP
Excluded Names	IPアドレス(IPv4)	0.0.0.0/0.0.0.0
	IPアドレス(IPv6)	0:0:0:0:0:0:0:0/0
authorityInfoAccess (extnId :== 1 3 6 1 5 5 7 1 1，critical :== FALSE)		値
Authority Information Access	認証局情報アクセス
AccessDescription	（オンライン証明書状態プロトコル）
accessMethod	アクセス方法
	型：OID	1.3.6.1.5.5.7.48.1 (ocsp)
accessLocation	アクセス先
	型：OCTET STRING	http://rtocsp.managedpki.ne.jp/ OcspServer
AccessDescription	（証明機関の発行者）
accessMethod	アクセス方法
	型：OID	1.3.6.1.5.5.7.48.2 (caIssuers)
accessLocation	型：OCTET STRING	http://rtcrl.managedpki.ne.jp/ SecureSignAD/SecureSignRootCA11/SSAD-rca.crt
keyUsage (extnId :== 2 5 29 15，critical :== TRUE)		値
KeyUsage	鍵用途
	型：BIT STRING	10000110 (0x86) (Digital Signature,keyCertSign,cRLSign)
extKeyUsage (extnId :== 2 5 29 37，critical :== FALSE)		値
ExtKeyUsage	拡張鍵用途
KeyPurposeId	鍵用途目的
	型：OID	1.3.6.1.5.5.7.3.1 (serverAuth)
authorityKeyIdentifier (extnId :== 2 5 29 35，critical :== FALSE)		値
AuthorityKeyIdentifier	電子証明書発行者の公開鍵に関する情報
KeyIdentifier	公開鍵の識別子
	型：OCTET STRING	5b f8 4d 4f b2 a5 86 d4 3a d2 f1 63 9a a0 be 09 f6 57 b7 de
cRLDistributionPoints (extnId :== 2 5 29 31，critical :== FALSE)		値
cRLDistributionPoints	CRL配布ポイント
DistributionPoint	CRL配布ポイント
uniformResourceIdentifier	URI
	型：OCTET STRING	http://rtcrl.managedpki.ne.jp/SecureSignAD/SecureSignRootCA11/cdp.crl
subjectKeyIdentifier (extnId :== 2 5 29 14，critical :== FALSE)		値
SubjectKeyIdentifier	電子証明書所有者の公開鍵に関する情報
KeyIdentifier	公開鍵の識別子
	型：OCTET STRING	D3342FDDF84C99DE843F051DB9D9F440D9C08BB1

2-2) Cybertrust Japan SureServer EV CA G7 (EVCA7) 2-3) Cybertrust Japan SureServer EV CA G8 (EVCA8) 2-4) Cybertrust Japan SureServer EV CA G9 (EVCA9) 2-5) Cybertrust Japan SureServer CA G7 (SSCA7) 2-6) Cybertrust Japan SureServer CA G8 (SSCA8) （標準領域）

Version		値
Version	電子証明書フォーマットのバージョン番号
	型：INTEGER	2 (Ver.3)
serialNumber		値
CertificateSerialNumber	電子証明書のシリアル番号	＊以下のいずれかの値
	型：INTEGER	EVCA7: 253871017432188711949194414046884150249969284120 (0x2C77F85B12969E757EAC8921C7155089AE35F418)
		EVCA8: 711557647551209168260412389303640762322044180483 (0x7CA3593373BD43AA87416AB0439DAC5D0361D803)
		EVCA9: 670330029353397387367279429585581215447244928789 (0x756AA35ABA8847DD5103C33A37B168FA13A4F715)
		SSCA7: 128404668628304561596392169718195621015372084939 (0x167DDD4E7ABD348B6A105BC9CA24ACE745F2B6CB)
		SSCA8: 442497590356880787032587269713624319867761233890 (0x4D8247384ADF541F88340F4928553224B6C48FE2)
Signature		値
AlgorithmIdentifier	電子証明書への署名に使用された署名アルゴリズムの識別子
algorithm	署名アルゴリズムのオブジェクトID	＊以下のいずれかの値
	型：OID	EVCA7およびSSCA7: 1.2.840.113549.1.1.11 (sha256WithRSAEncryption)
		EVCA9: 1.2.840.113549.1.1.12 (sha384WithRSAEncryption)
		EVCA8および SSCA8: 1.2.840.10045.4.3.3 (ecdsa-with-SHA384)
parameters	署名アルゴリズムの引数	＊EVCA7, EVCA9および SSCA7のみ
	型：NULL	NULL
Issuer		値
countryName	電子証明書発行者の国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
organizationName	電子証明書発行者の組織名
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値
	型：PrintableString	Cybertrust Japan Co., Ltd.
commonName	電子証明書発行者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値	＊以下のいずれかの値
	型：PrintableString	EVCA7およびSSCA7: SecureSign Root CA12
		EVCA9: SecureSign Root CA14
		EVCA8およびSSCA8: SecureSign Root CA15
Validity		値
Validity	電子証明書の有効期間
notBefore	開始日時	＊以下のいずれかの値
	型：UTCTime	EVCA7: ‎200622073438Z (2020年6月22日 16:34:38 JST)
		EVCA8: 200622093921Z (2020年6月22日 18:39:21 JST)
		EVCA9: 200622085022Z (2020年6月22日 17:50:22 JST)
		SSCA7: 200622074205Z (2020年6月22日 16:42:05 JST)
		SSCA8: ‎200622094515Z (2020年6月22日 18:45:15 JST)
notAfter	終了日時	＊以下のいずれかの値
	型：UTCTime	EVCA7: 300622073438Z (2030年6月22日 16:34:38 JST)
		EVCA8: ‎300622093921Z (2030年6月22日 18:39:21 JST)
		EVCA9: ‎300622085022Z (2030年6月22日 17:50:22 JST)
		SSCA7: 300622074205Z (2030年6月22日 16:42:05 JST)
		SSCA8: ‎300622094515Z (2030年6月22日 18:45:15 JST)
Subject		値
countryName	電子証明書所有者の国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
organizationName	電子証明書所有者の組織名
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値
	型：PrintableString	Cybertrust Japan Co., Ltd.
commonName	電子証明書所有者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値	＊以下のいずれかの値
	型：PrintableString	EVCA7: Cybertrust Japan SureServer EV CA G7
		EVCA8: Cybertrust Japan SureServer EV CA G8
		EVCA9: Cybertrust Japan SureServer EV CA G9
		SSCA7: Cybertrust Japan SureServer CA G7
		SSCA8: Cybertrust Japan SureServer CA G8
subjectPublicKeyInfo		値
SubjectPublicKeyInfo	電子証明書所有者の公開鍵情報
AlgorithmIdentifier	暗号アルゴリズムの識別子
algorithm	暗号アルゴリズムのオブジェクトID	＊以下のいずれかの値
	型：OID	EVCA7, EVCA9およびSSCA7: 1.2.840.113549.1.1.1 (rsaEncryption)
		EVCA8およびSSCA8: 1.2.840.10045.2.1 (id-ecPublicKey)
parameters	暗号アルゴリズムの引数	＊以下のいずれかの値
	型：OID	EVCA7, EVCA9およびSSCA7: NULL
		EVCA8およびSSCA8: 1.3.132.0.34 (secp384r1)
subjectPublicKey	公開鍵値	＊以下のいずれかの値
	型：BIT STRING	EVCA7 およびSSCA7: *2048bitサイズの公開鍵
		EVCA9: *4096bitサイズの公開鍵
		EVCA8およびSSCA8: *384bitサイズの公開鍵

（拡張領域）

basicConstraints (extnId :== 2 5 29 19, critical :== TRUE)		値
BasicConstraints	基本制約
cA	CAかどうかを示すフラグ
	型：BOOLEAN	TRUE
pathLenConstraint	パス長の制約
	型：INTEGER	0
certificatePolicies (extnId :== 2 5 29 32, critical :== FALSE)		値
PolicyInformation	ポリシーに関する情報
policyIdentifier	ポリシーのオブジェクトID	＊以下のいずれかの値
	型：OID	EVCA7, EVCA8およびEVCA9: 1.2.392.200081.1.32.1
		SSCA7およびSSCA8: 1.2.392.200081.1.32.2
policyQualifiers	ポリシー修飾子
PolicyQualifierID	ポリシー修飾子の種別
	型：OID	1.3.6.1.5.5.7.2.1 (CPSuri)
Qualifier	CP/CPSが公開されているURI
	型：IA5String	https://www.cybertrust.ne.jp/ssl/repository_rt/index.html
PolicyInformation	ポリシーに関する情報
policyIdentifier	ポリシーのオブジェクトID	＊以下のいずれかの値
	型：OID	EVCA7, EVCA8およびEVCA9: 2.23.140.1.1 (CABF Extended Validation)
		SSCA7およびSSCA8: 2.23.140.1.2.2 (CABF Organization Validated)
authorityInfoAccess (extnId :== 1 3 6 1 5 5 7 1 1, critical :== FALSE)		値
AuthorityInfoAccess	認証局情報アクセス
AccessDescription	（オンライン証明書状態プロトコル）
accessMethod	アクセス方法
	型：OID	1.3.6.1.5.5.7.48.1 (ocsp)
accessLocation	アクセス先
	型：IA5String	http://rtocsp.cybertrust.ne.jp/OcspServer
AccessDescription	（証明機関の発行者）
accessMethod	アクセス方法
	型：OID	1.3.6.1.5.5.7.48.2 (caIssuers)
accessLocation	アクセス先	＊以下のいずれかの値
	型：IA5String	EVCA7 およびSSCA7: http://rtcrl.cybertrust.ne.jp/SecureSign/rtca12/rtca12.crt
		EVCA9: http://rtcrl.cybertrust.ne.jp/SecureSign/rtca14/rtca14.crt
		EVCA8およびSSCA8: http://rtcrl.cybertrust.ne.jp/SecureSign/rtca15/rtca15.crt
keyUsage (extnId :== 2 5 29 15, critical :== TRUE)		値
KeyUsage	鍵用途
	型：BIT STRING	10000110 (0x86) (digitalSignature, keyCertSign, cRLSign)
extKeyUsage (extnId :== 2 5 29 37, critical :== FALSE）		値
ExtKeyUsage	拡張鍵用途
KeyPurposeId	鍵用途目的
	型：OID	1.3.6.1.5.5.7.3.1 (serverAuth) 1.3.6.1.5.5.7.3.2 (clientAuth)
authorityKeyIdentifier (extnId :== 2 5 29 35, critical :== FALSE)		値
AuthorityKeyIdentifier	電子証明書発行者の公開鍵に関する情報
KeyIdentifier	公開鍵の識別子	＊以下のいずれかの値
	型：OCTET STRING	EVCA7 およびSSCA7: 5734F374CF044BD525E6F140B62C4CD92DE9A0AD
		EVCA9: 0693A30A5E286937AA611DEBEBFC2D6F23E4F3A0
		EVCA8およびSSCA8: EB41C8AEFCD59E5148F5BD8BF4872093412BD3F4
cRLDistributionPoints (extnId :== 2 5 29 31, critical :== FALSE)		値
CRLDistributionPoints	CRL配布ポイント
DistributionPoint	CRL配布ポイント
uniformResourceIdentifier	CRLを配布するURI	＊以下のいずれかの値
	型：IA5String	EVCA7 およびSSCA7: http://rtcrl.cybertrust.ne.jp/SecureSign/rtca12/cdp.crl
		EVCA9: http://rtcrl.cybertrust.ne.jp/SecureSign/rtca14/cdp.crl
		EVCA8およびSSCA8: http://rtcrl.cybertrust.ne.jp/SecureSign/rtca15/cdp.crl
subjectKeyIdentifier (extnId :== 2 5 29 14, critical :== FALSE)		値
SubjectKeyIdentifier	電子証明書所有者の公開鍵に関する情報
KeyIdentifier	公開鍵の識別子	＊以下のいずれかの値
	型：OCTET STRING	EVCA7: 7483319BF875CD0DCF8E84E6D28E9AA6794C2AA6
		EVCA8: AEE4FDC16E22F8DFB71383F8E2D143B696B93AC8
		EVCA9: EDB8FA2F3D7D25BEE354B165CE54A8833B92F0C7
		SSCA7: 8E3C286393A4E4850F5489DD69B23C52674AB5A4
		SSCA8: 3DD29719E5391699EE6BB01B7AC6F3FACAF5F703

3. SSL/TLS 証明書 3-1) JCSI TLSSign Public CA （標準領域）

version		値
Version	電子証明書フォーマットのバージョン番号
	型：INTEGER	2 (Ver.3)
serialNumber		値
CertificateSerialNumber	電子証明書のシリアル番号
	型：INTEGER	＊シリアル番号（ユニークな整数）
signature		値
AlgorithmIdentifier	電子証明書への署名に使用された署名アルゴリズムの識別子
algorithm	署名アルゴリズムのオブジェクトID
	型：OID	1.2.840.113549.1.1.11 ( sha256WithRSAEncryption)
parameters	署名アルゴリズムの引数
	型：NULL	NULL
issuer		値
countryName	電子証明書発行者の国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
organizationName	電子証明書発行者の組織名
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値
	型：PrintableString	Cybertrust Japan Co.,Ltd.
commonName	電子証明書発行者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値
	型：PrintableString	JCSI TLSSign Public CA
validity		値
Validity	電子証明書の有効期間
notBefore	開始日時
	型：UTCTime	＊有効開始日時
notAfter	終了日時
	型：UTCTime	＊有効終了日時
subject		値
countryName	加入者の確認済みの国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
stateOrProvinceName	加入者の確認済みの都道府県名
type	都道府県名のオブジェクトID
	型：OID	2.5.4.8
value	都道府県名の値
	型：PrintableString / UTF8String	＊加入者の確認済みの都道府県名
localityName	加入者の確認済みの市町村名
type	市町村名のオブジェクトID
	型：OID	2.5.4.7
value	市町村名の値
	型：PrintableString / UTF8String	＊加入者の確認済みの市町村名
organizationName	加入者の正式名称
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値
	型：PrintableString / UTF8String	＊加入者の正式名称
commonName	加入者の固有名称
type	固有名称のオブジェクトID
	型：OID	2 5 4 3
value	固有名称の値
	型：PrintableString	＊加入者の固有名称＊SSL/TLS通信を行うサーバーのFQDN
		＊ただし、ドメイン：.managedpki.ne.jp
subjectPublicKeyInfo		値
SubjectPublicKeyInfo	加入者の公開鍵情報
AlgorithmIdentifier	暗号アルゴリズムの識別子
algorithm	暗号アルゴリズムのオブジェクトID
	型：OID	1.2.840.113549.1.1.1 (rsaEncryption)
parameters	暗号アルゴリズムの引数
	型： OID	NULL
subjectPublicKey	公開鍵値
	型：BIT STRING	＊鍵サイズは申請による
		＊2048bit以上が必須

（拡張領域）

basicConstraints (extnId :== 2 5 29 19，critical :== TRUE)		値
BasicConstraints	基本的制限
cA	ＣＡかどうかを示すフラグ
	型：BOOLEAN	FALSE
certificatePolicies (extnId :== 2 5 29 32，critical :== FALSE)		値
PolicyInformation	ポリシーに関する情報
policyIdentifier	ポリシーのオブジェクトID
	型：OID	1.2.392.200081.1.10.10
policyQualifiers	ポリシー修飾子
policyQualifierID	ポリシー修飾子の種別
	型：OID	1.3.6.1.5.5.7.2.1 (CPSuri)
Qualifier	CPSが公開されているURI
	型：IA5String	https://www.cybertrust.ne.jp/ssl/repository_rt/
PolicyInformation	ポリシーに関する情報
policyIdentifier	ポリシーのオブジェクトID
	型：OID	2.23.140.1.2.2
subjectAltName (extnId :==2 5 29 17，critical :== FALSE)		値
SubjectAltName	サブジェクト代替名
dNSName	dNSName
	型：IA5String	＊SSL/TLS通信を行うサーバーのFQDN ＊ただしドメイン： .managedpki.ne.jp
authorityInfoAccess (extnId :== 1 3 6 1 5 5 7 1 1，critical :== FALSE)		値
AuthorityInfoAccess	認証局情報アクセス
AccessDescription	（オンライン証明書状態プロトコル）
accessMethod	アクセス方法
	型：OID	1.3.6.1.5.5.7.48.1 (ocsp)
accessLocation	アクセス先
	型：OCTET STRING	http://jcsitlssignpublicca-ocsp. managedpki.ne.jp/OcspServer
AccessDescription	（証明機関の発行者）
accessMethod	アクセス方法
	型：OID	1.3.6.1.5.5.7.48.2 (caIssuers)
accessLocation	アクセス先
	型：OCTET STRING	http://rtcrl.managedpki.ne.jp/ SecureSignAD/JCSITLSSignPublicCA/SSAD-JCSITLS.crt
keyUsage (extnId :== 2 5 29 15，critical :== TRUE)		値
KeyUsage	鍵用途
	型：BIT STRING	10100000 (0xa0) (digitalSignature,keyEncipherment)
extKeyUsage (extnId :==2 5 29 37，critical :== FALSE)		値
ExtKeyUsage	拡張鍵用途
KeyPurposeId	鍵用途目的
	型：OID	1.3.6.1.5.5.7.3.1 (serverAuth) 1.3.6.1.5.5.7.3.2 (clientAuth)
authorityKeyIdentifier (extnId :== 2 5 29 35，critical :== FALSE)		値
AuthorityKeyIdentifier	電子証明書発行者の公開鍵に関する情報
KeyIdentifier	公開鍵の識別子
	型：OCTET STRING	D3342FDDF84C99DE843F051DB9D9F440D9C08BB1
cRLDistributionPoints (extnId :== 2 5 29 31，critical :== FALSE)		値
cRLDistributionPoints	CRL配布ポイント
DistributionPoint	CRL配布ポイント
uniformResourceIdentifier	CRLを配付するURI
	型：OCTET STRING	http://rtcrl.managedpki.ne.jp/ SecureSignAD/JCSITLSSign PublicCA/cdp.crl
subjectKeyIdentifier (extnId :== 2 5 29 14，critical :== FALSE)		値
SubjectKeyIdentifier	加入者の公開鍵に関する情報（RFC5280, 4.2.1.2 章に従い生成）
KeyIdentifier	公開鍵の識別子
	型：OCTET STRING	＊加入者の公開鍵のHash値

3-2) Cybertrust Japan SureServer EV CA G7 (EVCA7) 3-3) Cybertrust Japan SureServer EV CA G8 (EVCA8) 3-4) Cybertrust Japan SureServer EV CA G9 (EVCA9) 3-5) Cybertrust Japan SureServer CA G7 (SSCA7) 3-6) Cybertrust Japan SureServer CA G8 (SSCA8) （標準領域）

Version		値
Version	電子証明書フォーマットのバージョン番号
	型：INTEGER	2 (Ver.3)
serialNumber		値
CertificateSerialNumber	電子証明書のシリアル番号
	型：INTEGER	＊シリアル番号（ユニークな整数）
signature		値
AlgorithmIdentifier	電子証明書への署名に使用された署名アルゴリズムの識別子
algorithm	署名アルゴリズムのオブジェクトID	＊以下のいずれかの値
	型：OID	EVCA7およびSSCA7: 1.2.840.113549.1.1.11 (sha256WithRSAEncryption)
		EVCA9: 1.2.840.113549.1.1.12 (sha384WithRSAEncryption)
		EVCA8およびSSCA8: 1.2.840.10045.4.3.3 (ecdsa-with-SHA384)
parameters	署名アルゴリズムの引数	＊EVCA7, EVCA9およびSSCA7のみ
	型：NULL	NULL
issuer		値
countryName	電子証明書発行者の国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
organizationName	電子証明書発行者の組織名
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値
	型：PrintableString	Cybertrust Japan Co., Ltd.
commonName	電子証明書発行者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値	＊以下のいずれかの値
	型：PrintableString	EVCA7: Cybertrust Japan SureServer EV CA G7
		EVCA8: Cybertrust Japan SureServer EV CA G8
		EVCA9: Cybertrust Japan SureServer EV CA G9
		SSCA7: Cybertrust Japan SureServer CA G7
		SSCA8: Cybertrust Japan SureServer CA G8
Validity		値
Validity	電子証明書の有効期間
notBefore	開始日時
	型：UTCTime	＊有効開始日時
notAfter	終了日時
	型：UTCTime	＊有効終了日時
subject		値
jurisdictionOfIncorporationCountryName	加入者の法人設立/登録管轄地（国）	＊EVCA7, EVCA8およびEVCA9のみ
type	法人設立/登録管轄地（国）のオブジェクトID
	型：OID	1.3.6.1.4.1.311.60.2.1.3
value	法人設立/登録管轄地（国）の値
	型：PrintableString	JP （固定）
jurisdictionOfIncorporationStateOrProvinceName	加入者の法人設立/登録管轄地（都道府県）	＊EVCA7, EVCA8およびEVCA9のみ＊都道府県または市区町村が法人設立/登録管轄地となる行政機関の場合のみ有効
type	法人設立/登録管轄地（都道府県）のオブジェクトID
	型：OID	1.3.6.1.4.1.311.60.2.1.2
value	法人設立/登録管轄地（都道府県）の値
	型：PrintableString	＊加入者の法人設立/登録管轄地（都道府県）
jurisdictionOfIncorporationLocalityName	加入者の法人設立/登録管轄地（市区町村）	＊EVCA7, EVCA8およびEVCA9のみ＊市区町村が法人設立/登録管轄地となる行政機関の場合のみ有効
type	法人設立/登録管轄地（市区町村）のオブジェクトID
	型：OID	1.3.6.1.4.1.311.60.2.1.1
value	法人設立/登録管轄地（市区町村）の値
	型：PrintableString	＊加入者の法人設立/登録管轄地（市区町村）
serialNumber	加入者の会社法人等番号	＊EVCA7, EVCA8およびEVCA9のみ
type	会社法人等番号のオブジェクトID
	型：OID	2.5.4.5
value	会社法人等番号の値
	型：PrintableString	＊加入者の会社法人等番号＊申請組織のカテゴリが民間組織の場合は、会社法人等番号行政機関の場合は、設立年月日または「The Subject is a Government Entity」
businessCategory	加入者の申請組織のカテゴリ	＊EVCA7, EVCA8およびEVCA9のみ
type	申請組織のカテゴリのオブジェクトID
	型：OID	2.5.4.15
value	申請組織のカテゴリの値
	型：PrintableString	＊加入者の申請組織のカテゴリ民間企業：Private Organization 行政機関：Government Entity （事業体：Business Entity、非営利団体：Non-Commercial Entityは発行対象としない）
countryName	加入者の確認済みの国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	＊加入者の確認済みの国名
stateOrProvinceName	加入者の確認済みの都道府県名
type	都道府県名のオブジェクトID
	型：OID	2.5.4.8
value	都道府県名の値
	型：PrintableString / UTF8String	＊加入者の確認済みの都道府県名
localityName	加入者の確認済みの市町村名
type	市町村名のオブジェクトID
	型：OID	2.5.4.7
value	市町村名の値
	型：PrintableString / UTF8String	＊加入者の確認済みの市町村名
organizationName	加入者の正式名称
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値
	型：PrintableString / UTF8String	＊加入者の正式名称
commonName	加入者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値
	型：PrintableString	＊サーバーのIPアドレスまたは FQDNのいずれか一つ＊IPアドレスはOVの場合のみ
subjectPublicKeyInfo		値
SubjectPublicKeyInfo	加入者の公開鍵情報
AlgorithmIdentifier	暗号アルゴリズムの識別子
algorithm	暗号アルゴリズムのオブジェクトID	＊以下のいずれかの値
	型：OID	EVCA7, EVCA9およびSSCA7: 1.2.840.113549.1.1.1 (rsaEncryption)
		EVCA8およびSSCA8: 1.2.840.10045.2.1 (id-ecPublicKey)
parameters	暗号アルゴリズムの引数	＊以下のいずれかの値
	型：OID	EVCA7, EVCA9およびSSCA7: NULL
		EVCA8およびSSCA8: ＊以下のいずれかの値 1.2.840.10045.3.1.7 (secp256r1) 1.3.132.0.34 (secp384r1)
subjectPublicKey	公開鍵値
	型：BIT STRING	＊鍵サイズは申請による＊2048bit以上(EVCA7、SSCA7およびEVCA9)、または256bit以上(EVCA8およびSSCA8)が必須

（拡張領域）

basicConstraints (extnId :== 2 5 29 19, critical :== TRUE)		値
BasicConstraints	基本制約
cA	CAかどうかを示すフラグ
	型：BOOLEAN	FALSE
certificatePolicies (extnId :== 2 5 29 32, critical :== FALSE)		値
PolicyInformation	ポリシーに関する情報
policyIdentifier	ポリシーのオブジェクトID	＊以下のいずれかの値
	型：OID	EVCA7, EVCA8およびEVCA9: 1.2.392.200081.1.32.1
		SSCA7およびSSCA8: 1.2.392.200081.1.32.2
policyQualifiers	ポリシー修飾子
PolicyQualifierID	ポリシー修飾子の種別
	型：OID	1.3.6.1.5.5.7.2.1 (CPSuri)
Qualifier	CP/CPSが公開されているURI
	型：IA5String	https://www.cybertrust.ne.jp/ssl/repository_rt/index.html
PolicyInformation	ポリシーに関する情報
policyIdentifier	ポリシーのオブジェクトID	＊以下のいずれかの値
	型：OID	EVCA7, EVCA8およびEVCA9: 2.23.140.1.1 (CABF Extended Validation)
		SSCA7およびSSCA8: 2.23.140.1.2.2 (CABF Organization Validated)
authorityInfoAccess (extnId :== 1 3 6 1 5 5 7 1 1, critical :== FALSE)		値
AuthorityInfoAccess	認証局情報アクセス
AccessDescription	（オンライン証明書状態プロトコル）
accessMethod	アクセス方法
	型：OID	1.3.6.1.5.5.7.48.1 (ocsp)
accessLocation	アクセス先	＊以下のいずれかの値
	型：IA5String	EVCA7, EVCA8およびEVCA9: http://evocsp.cybertrust.ne.jp/OcspServer
		SSCA7およびSSCA8: http://ssocsp.cybertrust.ne.jp/OcspServer
AccessDescription	（証明機関の発行者）
accessMethod	アクセス方法
	型：OID	1.3.6.1.5.5.7.48.2 (caIssuers)
accessLocation	アクセス先	＊以下のいずれかの値
	型：IA5String	EVCA7: http://evcrl.cybertrust.ne.jp/SureServer/evcag7/evcag7.crt
		EVCA8: http://evcrl.cybertrust.ne.jp/SureServer/evcag8/evcag8.crt
		EVCA9: http://evcrl.cybertrust.ne.jp/SureServer/evcag9/evcag9.crt
		SSCA7: http://sscrl.cybertrust.ne.jp/SureServer/ovcag7/ovcag7.crt
		SSCA8: http://sscrl.cybertrust.ne.jp/SureServer/ovcag8/ovcag8.crt
subjectAltName (extnId :== 2 5 29 17, critical :== FALSE）		値
SubjectAltName	サブジェクト代替名
dNSNameまたはiPAddress	dNSNameまたはIPアドレス
	型：IA5String（dNSName）型：OCTET STRING（IPアドレス）	＊SSL/TLS通信を行うサーバーのFQDNまたはIPアドレス＊IPアドレスはOVの場合のみ
keyUsage (extnId :== 2 5 29 15, critical :==TRUE）		値
KeyUsage	鍵用途	＊以下のいずれかの値
	型：BIT STRING	EVCA7, EVCA9およびSSCA7: 10100000 (0xA0) (digitalSignature, keyEncipherment)
		EVCA8およびSSCA8: 10000000 (0x80) (digitalSignature)
extKeyUsage (extnId :== 2 5 29 37, critical :== FALSE)		値
ExtKeyUsage	拡張鍵用途
KeyPurposeId	鍵用途目的
	型：OID	1.3.6.1.5.5.7.3.1 (serverAuth) 1.3.6.1.5.5.7.3.2 (clientAuth)
authorityKeyIdentifier (extnId :== 2 5 29 35, critical :== FALSE)		値
AuthorityKeyIdentifier	電子証明書発行者の公開鍵に関する情報
KeyIdentifier	公開鍵の識別子	＊以下のいずれかの値
	型：OCTET STRING	EVCA7: 7483319BF875CD0DCF8E84E6D28E9AA6794C2AA6
		EVCA8: AEE4FDC16E22F8DFB71383F8E2D143B696B93AC8
		EVCA9: EDB8FA2F3D7D25BEE354B165CE54A8833B92F0C7
		SSCA7: 8E3C286393A4E4850F5489DD69B23C52674AB5A4
		SSCA8: 3DD29719E5391699EE6BB01B7AC6F3FACAF5F703
cRLDistributionPoints (extnId :== 2 5 29 31，critical :== FALSE)		値
CRLDistributionPoints	CRL配布ポイント
DistributionPoint	CRL配布ポイント
uniformResourceIdentifier	CRLを配付するURI	＊以下のいずれかの値
	型：IA5String	EVCA7: http://evcrl.cybertrust.ne.jp/SureServer/evcag7/cdp.crl
		EVCA8: http://evcrl.cybertrust.ne.jp/SureServer/evcag8/cdp.crl
		EVCA9: http://evcrl.cybertrust.ne.jp/SureServer/evcag9/cdp.crl
		SSCA7: http://sscrl.cybertrust.ne.jp/SureServer/ovcag7/cdp.crl
		SSCA8: http://sscrl.cybertrust.ne.jp/SureServer/ovcag8/cdp.crl
subjectKeyIdentifier (extnId :== 2 5 29 14, critical :== FALSE)		値
SubjectKeyIdentifier	加入者の公開鍵に関する情報（RFC5280, 4.2.1.2 章に従い生成）
KeyIdentifier	公開鍵の識別子
	型：OCTET STRING	＊加入者の公開鍵のHash値
SignedCertificateTimestampList (extnId :== 1 3 6 1 4 1 11129 2 4 2, critical :== FALSE)		値
SignedCertificateTimestampList SignedCertificateTimestamp	Certificate Transparencyのタイムスタンプのリスト Certificate Transparency のタイムスタンプ
	型：OCTET STRING	＊Signed CertificateTimestamp List

4. CRL 5-1) SecureSign RootCA11（CA11） 5-2) JCSI TLSSign Public CA（JCSICA）（標準領域）

version		値
Version	CRL(失効リスト)フォーマットのバージョン番号
	型：INTEGER	1 (Ver.2)
signature		値
AlgorithmIdentifier	CRLへの署名に使用された署名アルゴリズムの識別子
algorithm	署名アルゴリズムのオブジェクトID
	型：OID	1.2.840.113549.1.1.11 ( sha256WithRSAEncryption)
parameters	署名アルゴリズムの引数
	型：NULL	NULL
issuer		値
countryName	CRL発行者の国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
organizationName	CRL発行者の組織名
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値	＊以下のいずれかの値
	型：PrintableString	CA11: Japan Certification Services, Inc.
		JCSICA： Cybertrust Japan Co.,Ltd.
commonName	CRL発行者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値	＊以下のいずれかの値
	型：PrintableString	CA11: SecureSign RootCA11
		JCSICA： JCSI TLSSign Public CA
thisUpdate		値
thisUpdate	CRLの発行日時
	型：UTCTime	＊有効開始日時
nextUpdate		値
nextUpdate	次回CRLの更新予定日時
	型：UTCTime	＊更新予定日時

（拡張領域）

cRLNumber (extnId :== 2 5 29 20，critical :== FALSE)		値
cRLNumber	失効リストのシーケンス番号
	型：INTEGER	* CRL の番号
authorityKeyIdentifier (extnId :== 2 5 29 35，critical :== FALSE)		値
AuthorityKeyIdentifier	CRL発行者の公開鍵に関する情報
keyIdentifier	公開鍵の識別子	＊以下のいずれかの値
	型：OCTET STRING	CA11: 5BF84D4FB2A586D43AD2F1639AA0BE09F657B7DE
		JCSICA： D3342FDDF84C99DE843F051DB9D9F440D9C08BB1
issuingDistributionPoint (extnId :== 2 5 29 28，critical :== FALSE)		値
issuingDistributionPoint	CRL発行配布ポイント
distributionPoint	CRL配布ポイント
uniformResourceIdentifier	CRLを配布するURI	＊JCSICAのみ
	型：OCTET STRING	http://rtcrl.managedpki.ne.jp/SecureSignAD/JCSITLSSignPublicCA/cdp.crl
onlyContainsUserCerts	失効リストが利用者に関するもののみであることを示すフラグ
	型：BOOLEAN	TRUE
onlyContainsCACerts	失効リストがルート認証局に関するもののみであることを示すフラグ
	型：BOOLEAN	FALSE
indirectCRL	失効リストが間接CRLであるかを示すフラグ
	型：BOOLEAN	FALSE

（エントリ領域）

revokedCertificates		値
CertificateSerialNumber	証明書シリアル番号
	型：INTEGER	＊失効した証明書のシリアル番号
revocationDate	失効処理日時
	型：UTCTime	＊失効処理日時

（エントリ拡張領域）

invalidityDate (extnId :== 2 5 29 24，critical :== FALSE)		値
invalidityDate	無効化日時
	型：GeneralizedTime	＊該当証明書の失効処理日時
cRLReason (extnId :== 2 5 29 21，critical :== FALSE)		値
CRLReason	失効理由コード
	型： ENUMERATED	＊失効理由コードの値

5-3) SecureSign Root CA12 (RCA12) 5-4) SecureSign Root CA14 (RCA14) 5-5) SecureSign Root CA15 (RCA15) 5-6) Cybertrust Japan SureServer EV CA G7 (EVCA7) 5-7) Cybertrust Japan SureServer EV CA G8 (EVCA8) 5-8) Cybertrust Japan SureServer EV CA G9 (EVCA9) 5-9) Cybertrust Japan SureServer CA G7 (SSCA7) 5-10) Cybertrust Japan SureServer CA G8 (SSCA8) （標準領域）

version		値
Version	CRL(失効リスト)フォーマットのバージョン番号
	型：INTEGER	1 (Ver.2)
signature		値
AlgorithmIdentifier	CRLへの署名に使用された署名アルゴリズムの識別子
algorithm	署名アルゴリズムのオブジェクトID	＊以下のいずれかの値
	型：OID	RCA12, EVCA7および SSCA7 1.2.840.113549.1.1.11 (sha256WithRSAEncryption)
		RCA14, RCA16およびEVCA9: 1.2.840.113549.1.1.12 (sha384WithRSAEncryption)
		RCA15, EVCA8およびSSCA8: 1.2.840.10045.4.3.3 (ecdsa-with-SHA384)
parameters	署名アルゴリズムの引数	＊RCA12, RCA14, EVCA7, EVCA9および SSCA7のみ
	型：NULL	NULL
issuer		値
countryName	CRL発行者の国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
organizationName	CRL発行者の組織名
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値
	型：PrintableString	Cybertrust Japan Co., Ltd.
commonName	CRL発行者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値	＊以下のいずれかの値
	型：PrintableString	RCA12: SecureSign Root CA12
		RCA14: SecureSign Root CA14
		RCA15: SecureSign Root CA15
		EVCA7: Cybertrust Japan SureServer EV CA G7
		EVCA8: Cybertrust Japan SureServer EV CA G8
		EVCA9: Cybertrust Japan SureServer EV CA G9
		SSCA7: Cybertrust Japan SureServer CA G7
		SSCA8: Cybertrust Japan SureServer CA G8
thisUpdate		値
thisUpdate	CRLの発行日時
	型：UTCTime	＊発行日時
nextUpdate		値
nextUpdate	次回のCRL発行予定日時
	型：UTCTime	＊更新予定日時

（拡張領域）

cRLNumber （extnId :== 2 5 29 20, critical :== FALSE）		値
cRLNumber	CRLのシーケンス番号
	型：INTEGER	＊CRL番号
authorityKeyIdentifier （extnId :== 2 5 29 35, critical :== FALSE）		値
AuthorityKeyIdentifier	CRL発行者の公開鍵に関する情報
KeyIdentifier	公開鍵の識別子	＊以下のいずれかの値
	型：OCTET STRING	RCA12: 5734F374CF044BD525E6F140B62C4CD92DE9A0AD
		RCA14: 0693A30A5E286937AA611DEBEBFC2D6F23E4F3A0
		RCA15: EB41C8AEFCD59E5148F5BD8BF4872093412BD3F4
		EVCA7: 7483319BF875CD0DCF8E84E6D28E9AA6794C2AA6
		EVCA8: AEE4FDC16E22F8DFB71383F8E2D143B696B93AC8
		EVCA9: EDB8FA2F3D7D25BEE354B165CE54A8833B92F0C7
		SSCA7: 8E3C286393A4E4850F5489DD69B23C52674AB5A4
		SSCA8: 3DD29719E5391699EE6BB01B7AC6F3FACAF5F703
issuingDistributionPoint （extnId :== 2 5 29 28, critical :== TRUE）		値
issuingDistributionPoint	CRL発行配布ポイント	＊RCA12, RCA14, およびRCA15を除く
distributionPoint	CRL配布ポイント
uniformResourceIdentifier	CRLを配布するURI	＊以下のいずれかの値
	型：IA5String	EVCA7: http://evcrl.cybertrust.ne.jp/SureServer/evcag7/cdp.crl
		EVCA8: http://evcrl.cybertrust.ne.jp/SureServer/evcag8/cdp.crl
		EVCA9: http://evcrl.cybertrust.ne.jp/SureServer/evcag9/cdp.crl
		SSCA7: http://sscrl.cybertrust.ne.jp/SureServer/ovcag7/cdp.crl
		SSCA8: http://sscrl.cybertrust.ne.jp/SureServer/ovcag8/cdp.crl
onlyContainsUserCerts	CRLが利用者に関するもののみであることを示すフラグ
	型：BOOLEAN	TRUE
onlyContainsCACerts	CRLが本認証局に関するもののみであることを示すフラグ
	型：BOOLEAN	FALSE
indirectCRL	CRLが間接CRLであるかを示すフラグ
	型：BOOLEAN	FALSE

（エントリ領域）

revokedCertificates		値
CertificateSerialNumber	証明書シリアル番号
	型：INTEGER	＊失効した証明書のシリアル番号
revocationDate	失効処理日時
	型：UTCTime	＊失効処理日時

（エントリ拡張領域）

invalidityDate （extnId :== 2 5 29 24, critical :== FALSE）		値
invalidityDate	無効化日時
	型：GeneralizedTime	＊該当証明書の失効処理日時
cRLReason （extnId :== 2 5 29 21, critical :== FALSE）		値
CRLReason	失効理由コード
	型：ENUMERATED	＊失効理由コードの値

5. OCSP レスポンダー証明書 6-1) SecureSign RootCA11（CA11） 6-2) JCSI TLSSign Public CA（JCSICA）（標準領域）

version		値
Version	電子証明書フォーマットのバージョン番号
	型：INTEGER	2 (Ver.3)
serialNumber		値
CertificateSerialNumber	電子証明書のシリアル番号
	型：INTEGER	＊シリアル番号（ユニークな整数）
signature		値
AlgorithmIdentifier	電子証明書への署名に使用された署名アルゴリズムの識別子
algorithm	署名アルゴリズムのオブジェクトID (SHA-2)
	型：OID	1.2.840.113549.1.1.11 （sha256WithRSAEncryption）
parameters	署名アルゴリズムの引数
	型：NULL	NULL
issuer		値
countryName	電子証明書発行者の国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
organizationName	電子証明書発行者の組織名
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値	＊以下のいずれかの値
	型：PrintableString	CA11 Japan Certification Services, Inc.
		JCSICA Cybertrust Japan Co.,Ltd.
commonName	電子証明書発行者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値	＊以下のいずれかの値
	型：PrintableString	ルート認証局 SecureSign RootCA11
		下位認証局 JCSI TLSSign Public CA
validity		値
Validity	電子証明書の有効期間
notBefore	開始日時
	型：UTCTime	＊有効開始日時
notAfter	終了日時
	型：UTCTime	＊有効終了日時
subject		値
countryName	電子証明書発行者の国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
organizationName	電子証明書発行者の組織名
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値	＊以下のいずれかの値
	型：PrintableString	CA11 Japan Certification Services, Inc.
		JCSICA Cybertrust Japan Co.,Ltd.
commonName	電子証明書発行者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値	＊以下のいずれかの値
	型：PrintableString	CA11 SecureSign RootCA11 OCSP Responder
		JCSICA jcsitlssignpublicca-ocsp.managedpki.ne.jp
subjectPublicKeyInfo		値
SubjectPublicKeyInfo	電子証明書所有者の公開鍵情報
AlgorithmIdentifier	暗号アルゴリズムの識別子
algorithm	暗号アルゴリズムのオブジェクトID
	型：OID	1.2.840.113549.1.1.1 (rsaEncryption)
parameters	暗号アルゴリズムの引数
	型：NULL	NULL
subjectPublicKey	公開鍵値
	型：BIT STRING	2048bitサイズの公開鍵

（拡張領域）

basicConstraints (extnId :== 2 5 29 19，critical :== TRUE)		値
BasicConstraints	基本的制約
cA	ＣＡかどうかを示すフラグ
	型：BOOLEAN	FALSE
ocspNoCheck (extnId :== 1.3.6.1.5.5.7.48.1.5，critical :== FALSE)		値
OCSP No Check	署名者証明書の失効確認
	失効確認を実施しない	NULL
keyUsage (extnId :== 2 5 29 15，critical :== TRUE)		値
KeyUsage	鍵用途
	型：BIT STRING	10000000 (0x80) (digitalSignature)
extKeyUsage (extnId :== 2 5 29 37，critical :== FALSE)		値
ExtKeyUsage	拡張鍵用途
KeyPurposeId	鍵用途目的
	型：OID	1.3.6.1.5.5.7.3.9 (OCSPSigning)
authorityKeyIdentifier (extnId :== 2 5 29 35，critical :== FALSE)		値
AuthorityKeyIdentifier	電子証明書発行者の公開鍵に関する情報
keyIdentifier	公開鍵の識別子	＊以下のいずれかの値
	型：OCTET STRING	CA11: 5BF84D4FB2A586D43AD2F1639AA0BE09F657B7DE
		JCSICA： D3342FDDF84C99DE843F051DB9D9F440D9C08BB1
subjectKeyIdentifier (extnId :== 2 5 29 14，critical :== FALSE)		値
SubjectKeyIdentifier	電子証明書所有者の公開鍵に関する情報
keyIdentifier	公開鍵の識別子	＊以下のいずれかの値
	型：OCTET STRING	CA11 B94942CCDDD7429F7DA18FE3B608F5C9BA265596
		JCSICA 6C79367B36C0E483A2EBCF00A28455A040875122

6-3) SecureSign Root CA12 (RCA12) 6-4) SecureSign Root CA14 (RCA14) 6-5) SecureSign Root CA15 (RCA15) 6-6) Cybertrust Japan SureServer EV CA G7 (EVCA7) 6-7) Cybertrust Japan SureServer EV CA G8 (EVCA8) 6-8) Cybertrust Japan SureServer EV CA G9 (EVCA9) 6-9) Cybertrust Japan SureServer CA G7 (SSCA7) 6-10) Cybertrust Japan SureServer CA G8 (SSCA8) （標準領域）

Version		値
Version	電子証明書フォーマットのバージョン番号
	型：INTEGER	2 (Ver.3)
serialNumber		値
CertificateSerialNumber	電子証明書のシリアル番号
	型：INTEGER	＊シリアル番号（ユニークな整数）
Signature		値
AlgorithmIdentifier	電子証明書への署名に使用された署名アルゴリズムの識別子
algorithm	署名アルゴリズムのオブジェクトID	＊以下のいずれかの値
	型：OID	RCA12, EVCA7およびSSCA7: 1.2.840.113549.1.1.11 (sha256WithRSAEncryption)
		RCA14およびEVCA9: 1.2.840.113549.1.1.12 (sha384WithRSAEncryption)
		RCA15, EVCA8およびSSCA8: 1.2.840.10045.4.3.3 (ecdsa-with-SHA384)
parameters	署名アルゴリズムの引数	＊RCA12, RCA14, EVCA7, EVCA9およびSSCA7 のみ
	型：NULL	NULL
issuer		値
countryName	電子証明書発行者の国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
organizationName	電子証明書発行者の組織名
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値
	型：PrintableString	Cybertrust Japan Co., Ltd.
commonName	電子証明書発行者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値	＊以下のいずれかの値
	型：PrintableString	RCA12: SecureSign Root CA12
		RCA14: SecureSign Root CA14
		RCA15: SecureSign Root CA15
		EVCA7: Cybertrust Japan SureServer EV CA G7
		EVCA8: Cybertrust Japan SureServer EV CA G8
		EVCA9: Cybertrust Japan SureServer EV CA G9
		SSCA7: Cybertrust Japan SureServer CA G7
		SSCA8: Cybertrust Japan SureServer CA G8
validity		値
Validity	電子証明書の有効期間
notBefore	開始日時
	型：UTCTime	＊有効開始日時
notAfter	終了日時
	型：UTCTime	＊有効終了日時
subject		値
countryName	電子証明書所有者の国名
type	国名のオブジェクトID
	型：OID	2.5.4.6
value	国名の値
	型：PrintableString	JP
organizationName	電子証明書所有者の組織名
type	組織名のオブジェクトID
	型：OID	2.5.4.10
value	組織名の値
	型：PrintableString	Cybertrust Japan Co., Ltd.
commonName	電子証明書所有者の固有名称
type	固有名称のオブジェクトID
	型：OID	2.5.4.3
value	固有名称の値	＊以下のいずれかの値
	型：PrintableString	RCA12: SecureSign Root CA12 OCSP Responder
		RCA14: SecureSign Root CA14 OCSP Responder
		RCA15: SecureSign Root CA15 OCSP Responder
		EVCA7: Cybertrust Japan SureServer EV CA G7 OCSP Responder
		EVCA8: Cybertrust Japan SureServer EV CA G8 OCSP Responder
		EVCA9: Cybertrust Japan SureServer EV CA G9 OCSP Responder
		SSCA7: Cybertrust Japan SureServer CA G7 OCSP Responder
		SSCA8: Cybertrust Japan SureServer CA G8 OCSP Responder
subjectPublicKeyInfo		値
SubjectPublicKeyInfo	電子証明書所有者の公開鍵情報
AlgorithmIdentifier	暗号アルゴリズムの識別子
algorithm	暗号アルゴリズムのオブジェクトID	＊以下のいずれかの値
	型：OID	RCA12, RCA14, EVCA7, EVCA9およびSSCA7: 1.2.840.113549.1.1.1 (rsaEncryption)
		RCA15, EVCA8およびSSCA8: 1.2.840.10045.2.1 (id-ecPublicKey)
parameters	暗号アルゴリズムの引数	＊以下のいずれかの値
	型：NULL	RCA12, RCA14, EVCA7, EVCA9およびSSCA7: NULL
		RCA15, EVCA8およびSSCA8: 1.3.132.0.34 (secp384r1)
subjectPublicKey	公開鍵値	＊以下のいずれかの値
	型：BIT STRING	RCA12, EVCA7およびSSCA7: ＊2048bitサイズの公開鍵
		RCA14およびEVCA9: ＊4096bitサイズの公開鍵
		RCA15, EVCA8およびSSCA8: ＊384bitサイズの公開鍵

（拡張領域）

basicConstraints (extnId :== 2 5 29 19, critical :== TRUE)		値
BasicConstraints	基本制約
cA	CAかどうかを示すフラグ
	型：BOOLEAN	FALSE
ocspNoCheck (extnId :== 1 3 6 1 5 5 7 48 1 5, critical :== FALSE)		値
OCSPNoCheck	署名者証明書の失効確認
	失効確認を実施しない	NULL
keyUsage (extnId :== 2 5 29 15, critical :== TRUE)		値
KeyUsage	鍵用途
	型：BIT STRING	10000000 (0x80) (digitalSignature)
extKeyUsage (extnId :== 2 5 29 37, critical :== FALSE)		値
ExtKeyUsage	拡張鍵用途
KeyPurposeId	鍵用途目的
	型：OID	1.3.6.1.5.5.7.3.9（OCSPSigning）
authorityKeyIdentifier (extnId :== 2 5 29 35, critical :== FALSE)		値
AuthorityKeyIdentifier	電子証明書発行者の公開鍵に関する情報
KeyIdentifier	公開鍵の識別子	＊以下のいずれかの値
	型：OCTET STRING	RCA12: 5734F374CF044BD525E6F140B62C4CD92DE9A0AD
		RCA14: 0693A30A5E286937AA611DEBEBFC2D6F23E4F3A0
		RCA15: EB41C8AEFCD59E5148F5BD8BF4872093412BD3F4
		EVCA7: 7483319BF875CD0DCF8E84E6D28E9AA6794C2AA6
		EVCA8: AEE4FDC16E22F8DFB71383F8E2D143B696B93AC8
		EVCA9: EDB8FA2F3D7D25BEE354B165CE54A8833B92F0C7
		SSCA7: 8E3C286393A4E4850F5489DD69B23C52674AB5A4
		SSCA8: 3DD29719E5391699EE6BB01B7AC6F3FACAF5F703
subjectKeyIdentifier (extnId :==2 5 29 14, critical :== FALSE)		値
SubjectKeyIdentifier	電子証明書所有者の公開鍵に関する情報
KeyIdentifier	公開鍵の識別子
	型：OCTET STRING	＊所有者の公開鍵のHash値

--- # Appendix D:失効済み認証局リストルート認証局なし下位認証局（JCSI 社が過去発行） | 認証局名称 | SecureSign Public CA11 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 3 | | 認証局証明書の有効期間 | 2009 年 4 月 8 日～ 2029 年 4 月 8 日 | | フィンガープリント（SHA1） | 8D4E255F55392AB219D20A958D6591A42D284596 | | フィンガープリント（SHA256） | D0D672C2547D574AE055D9E78A993DDBCC74044C4253FBFACA573A67D368E1DB | | 失効日 | 2020 年 2 月 17 日 06:04:53 (UTC) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign RootCA11 　　（JCSI ルート認証局） | 下位認証局（Technically Constained） | 認証局名称 | JCSI TLSSign Public CA | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 1D0E228D02254C1A492974D4A3481E279008E152 | | 認証局証明書の有効期間 | 2018 年 9 月 11 日～ 2029 年 4 月 8 日 | | フィンガープリント（SHA1） | 78765DC77359B2811B6D29FFD8AF8FF960668D26 | | フィンガープリント（SHA256） | C10FBC46B289E81FAD197DDC7A61482A9846D064BEE84E3C2A7F5DAC2E3894EA | | 失効日 | 2018 年 10 月 11 日 01:50:33 (UTC) | | 失効理由 | 破棄 | | ルート認証局 | SecureSign RootCA11 　　（JCSI ルート認証局） | 下位認証局 | 認証局名称 | Cybertrust Japan SureServer EV CA G4 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 2637AA218390223237789A9BAD8A7076E622B634 | | 認証局証明書の有効期間 | 2020 年 4 月 9 日～ 2030 年 4 月 9 日 | | フィンガープリント（SHA1） | 5570C3D33BB080E7D35B5AAB3B70EA52011B1688 | | フィンガープリント（SHA256） | 399B950244EA52E374D2E4DE70A1CB872875F97E35516895B07E8CC5EB5A6B29 | | 失効日 | 2020 年 6 月 21 日 17:11:38 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA12 | | 認証局名称 | Cybertrust Japan SureServer EV CA G5 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 3AD8B1A1D7334C9F62463939CBBB2C2CF4A9A438 | | 認証局証明書の有効期間 | 2020 年 4 月 9 日～ 2030 年 4 月 9 日 | | フィンガープリント（SHA1） | 3BC8815266264418A0E7CFD44319DC4812753040 | | フィンガープリント（SHA256） | 5ED4D96D978FAB1760216B6D7C6C4F636BFAD0CA25AC85BA7AFC459AFE7DA9F2 | | 失効日 | 2020 年 6 月 21 日 17:32:11 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA15 | | 認証局名称 | Cybertrust Japan SureServer EV CA G6 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 0498C56281A1A3819A30ADA18BBB4906E24CDE66 | | 認証局証明書の有効期間 | 2020 年 6 月 3 日～ 2030 年 6 月 3 日 | | フィンガープリント（SHA1） | 799D8151CE5D2A951A29CCA646A7B6509BC44143 | | フィンガープリント（SHA256） | E8DC1CB6EAEC23B16BDF7E1BD57D25AB91975829953B3873483D54A6A465AA34 | | 失効日 | 2020 年 6 月 21 日 17:22:42 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA14 | | 認証局名称 | Cybertrust Japan SureServer CA G5 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 79629546ABCD0B6293910AAE16D5594FDE8C3ABB | | 認証局証明書の有効期間 | 2020 年 4 月 9 日～ 2030 年 4 月 9 日 | | フィンガープリント（SHA1） | 29924AB435117BD34627D640B8C6892733E0ED38 | | フィンガープリント（SHA256） | AAA47419211F74D5C719B8F023E450BC610E0BE9D65A7FDEBD3C9B0642C78B43 | | 失効日 | 2020 年 6 月 21 日 17:13:23 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA12 | | 認証局名称 | Cybertrust Japan SureServer CA G6 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 15B79EA71C7B8CB19506AAFF5EF5017E8CD31AAA | | 認証局証明書の有効期間 | 2020 年 4 月 9 日～ 2030 年 4 月 9 日 | | フィンガープリント（SHA1） | 804FCCF74C78FD39CB165EBD95F8384D9F9C8232 | | フィンガープリント（SHA256） | 7D494CE0DCF09312874C0296D4F8F9E2A7DA21CEE272201E56E905464FA6B3D6 | | 失効日 | 2020 年 6 月 21 日 17:33:09 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA15 | | 認証局名称 | Cybertrust Japan SureMail CA G5 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 59562F1F81E6952E9AD89F430028201555B4A266 | | 認証局証明書の有効期間 | 2020 年 4 月 9 日～ 2030 年 4 月 9 日 | | フィンガープリント（SHA1） | 7E1930F1329C8F895BDE50E6B0AD6B691ABD8E6E | | フィンガープリント（SHA256） | 5285CFADE33A396D22C8FF2368A9143821B3F1B0FF527F8883B36BB8A9E95A47 | | 失効日 | 2020 年 6 月 21 日 17:15:03 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA12 | | 認証局名称 | Cybertrust Japan SureMail CA G6 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 40BF947ECB33AB9CDB43DEBCBE9A7A079F1EEFC2 | | 認証局証明書の有効期間 | 2020 年 4 月 9 日～ 2030 年 4 月 9 日 | | フィンガープリント（SHA1） | CD0961FD4B900771F740F697932A21A56DA149B6 | | フィンガープリント（SHA256） | ED7685BBFCCB13134C04C4ED07F33D7361DC518B381916C402C0EE37B4B21CC0 | | 失効日 | 2020 年 6 月 21 日 17:34:11 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA15 | | 認証局名称 | Cybertrust Japan SureCode EV CA G1 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 7AFCFB111FF70F66853C53910CF23FD51722743D | | 認証局証明書の有効期間 | 2020 年 4 月 9 日～ 2036 年 4 月 9 日 | | フィンガープリント（SHA1） | 1A9F73CED9337336FA4F5A6B1B4764AAE3E4A953 | | フィンガープリント（SHA256） | 0C6F6C6F6AC9508DBE69D4BDDC0C6C4CB52E3A0B54975B3BE483449799E0F3D6 | | 失効日 | 2020 年 6 月 21 日 17:24:02 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA14 | | 認証局名称 | Cybertrust Japan SureCode EV CA G2 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 2E0725B935D866072AA61B4BE5DAC81059145ED7 | | 認証局証明書の有効期間 | 2020 年 4 月 9 日～ 2036 年 4 月 9 日 | | フィンガープリント（SHA1） | 5B685C7BB809DBD9A046F18D995977F85546B983 | | フィンガープリント（SHA256） | B040BDB929A9C292DFD76134E589538045C9D61EBBD139186422F56FAA4FB8E1 | | 失効日 | 2020 年 6 月 21 日 17:35:06 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA15 | | 認証局名称 | Cybertrust Japan SureCode CA G1 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 1253A495AA2D9155A2FB649FB19C445512E172A4 | | 認証局証明書の有効期間 | 2020 年 4 月 9 日～ 2036 年 4 月 9 日 | | フィンガープリント（SHA1） | DB4F530FE971742D128253BDACAD707AFD3A22AC | | フィンガープリント（SHA256） | C0BE67133B36BBEE3A05DC34FCFB866C0EE8EBC3D862B248A7EEC7E035B4A57A | | 失効日 | 2020 年 6 月 21 日 17:25:14 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA14 | | 認証局名称 | Cybertrust Japan SureCode CA G2 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 02357E2E4380F68B22CE957CCF484EC34621E47F | | 認証局証明書の有効期間 | 2020 年 4 月 9 日～ 2036 年 4 月 9 日 | | フィンガープリント（SHA1） | CCF09D79D8D571103405CE2425298F887A78C793 | | フィンガープリント（SHA256） | 6AA7415D875D7B8945AE8B61E2AF2E2E78C98E058B8C2D072D41B2D48483FAA1 | | 失効日 | 2020 年 6 月 21 日 17:36:01 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA15 | | 認証局名称 | Cybertrust Japan SureTime CA G1 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 193A4704EF2D1D26D0D11D28FE44088473FD73EC | | 認証局証明書の有効期間 | 2020 年 4 月 9 日～ 2036 年 4 月 9 日 | | フィンガープリント（SHA1） | 4D4F47A322CAFED27EF8E7FCD908B24A2B7EABFD | | フィンガープリント（SHA256） | AE5ECCCAD770233E9AC5A2CE773CE752EB8DF51D7EA6FFC70BFF687613BD84CE | | 失効日 | 2020 年 6 月 21 日 17:26:16 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA14 | | 認証局名称 | Cybertrust Japan SureTime CA G2 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 076495342127D54FF3BFB5E350617FA716125A10 | | 認証局証明書の有効期間 | 2020 年 4 月 9 日～ 2036 年 4 月 9 日 | | フィンガープリント（SHA1） | FA390AB94C7EEA8281F915F7E452CF6FA5B4B738 | | フィンガープリント（SHA256） | 2B1F4353FAC8EA7269E761C96DDC43AD73334B9717CB5F2426E38DE20E460609 | | 失効日 | 2020 年 6 月 21 日 17:36:51 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA15 | | 認証局名称 | Cybertrust Japan SureTime CA G3 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 610BE2A6DFBED34D816E17F762066D8850DE8C04 | | 認証局証明書の有効期間 | 2020 年 6 月 22 日～ 2036 年 6 月 22 日 | | フィンガープリント（SHA1） | EB07FE22E8F17CE7FF797FAF1B854DCED841EDAD | | フィンガープリント（SHA256） | CC0A0DF79B94888CB630FE07C43CF43E592813AE26D9141D410BAC0A16D7478C | | 失効日 | 2022 年 09 月 21 日 13:33:19 (JST) | | 失効理由 | 証明書の破棄 | | ルート認証局 | SecureSign Root CA14 | | 認証局名称 | Cybertrust Japan SureTime CA G4 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 4AF6C82119A300E57F8E9E99C0A24E28D6E8F30D | | 認証局証明書の有効期間 | 2020 年 6 月 22 日～ 2036 年 6 月 22 日 | | フィンガープリント（SHA1） | 9E70C71AF24EF3FFE27878D5AA54E2BE5BB619A1 | | フィンガープリント（SHA256） | FF2D814C8D66794B383EACF5E1F2F44EB767F5C37C9855DC77A989680C6E8D47 | | 失効日 | 2022 年 09 月 21 日 13:38:55 (JST) | | 失効理由 | 証明書の破棄 | | ルート認証局 | SecureSign Root CA15 | | 認証局名称 | Cybertrust Japan SureMail CA G7 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 438AD46A876954D1F2AA7E8C8AC28200F24270BE | | 認証局証明書の有効期間 | 2020 年 6 月 22 日～ 2030 年 6 月 22 日 | | 署名方式 | SHA256 with RSA | | 認証局の鍵サイズ | 2048 bit | | フィンガープリント（SHA1） | E78CBAC46E1C13595B253492FF82C5B53EC4FD22 | | フィンガープリント（SHA256） | BE88404D1D6451268E1F90EC93BC2172876B22678E5405EACE95B1CDF35FAD07 | | 失効日 | 2023 年 4 月 28 日 16:12:38 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA12 | | 認証局名称 | Cybertrust Japan SureMail CA G8 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 1D3F1E58E0DF9F5DCEA86CA9AFC5CAD5ADDB9C89 | | 認証局証明書の有効期間 | 2020 年 6 月 22 日～ 2030 年 6 月 22 日 | | 署名方式 | ECDSA with SHA384 | | 認証局の鍵サイズ | 384 bit | | フィンガープリント（SHA1） | 15ED815535775C8565E260EFD5827A37087CB15B | | フィンガープリント（SHA256） | 195FA1E40EDF0B1BDCB2C4F913DD5FD6CCB58891DF3B73E53C7AEB9AC3F86E28 | | 失効日 | 2023 年 8 月 21 日 12:24:48 (JST) | | 失効理由 | 証明書の破棄 | | ルート認証局 | SecureSign Root CA15 | | 認証局名称 | Cybertrust Japan SureMail CA G8 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 1FA4C422EADA4D67BE7EC31B75024A2DB55C0015 | | 認証局証明書の有効期間 | 2023 年 8 月 21 日～ 2030 年 6 月 22 日 | | 署名方式 | ECDSA with SHA384 | | 認証局の鍵サイズ | 384 bit | | フィンガープリント（SHA1） | 113F753E0D47D761623FC92FC561931D335746B4 | | フィンガープリント（SHA256） | 8FBD048775F6F4C486CF4960A7BB8B807225E37C74935E5B99CBA9E41383FECA | | 失効日 | 2024 年 8 月 20 日 19:25:03 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA15 | | 認証局名称 | Cybertrust Japan SureCode EV CA G3 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 401C0824BBCEA63303FB626F7D613BFF01241FF6 | | 認証局証明書の有効期間 | 2020 年 6 月 22 日～ 2036 年 6 月 22 日 | | 署名方式 | SHA384 with RSA | | 認証局の鍵サイズ | 4096 bit | | フィンガープリント（SHA1） | 6261D96B51BFF7807F38B4A52E4155D89EFEF71E | | フィンガープリント（SHA256） | 87CC9D3EDF3F8517D922944AA114A5576AB4FD8DF09E35D10FF314C8EA172619 | | 失効日 | 2024 年 8 月 20 日 19:12:54 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA14 | | 認証局名称 | Cybertrust Japan SureCode EV CA G4 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 3067E8FBFB2201DE04917E3AE9701115A580F9D1 | | 認証局証明書の有効期間 | 2020 年 6 月 22 日～ 2036 年 6 月 22 日 | | 署名方式 | ECDSA with SHA384 | | 認証局の鍵サイズ | 384 bit | | フィンガープリント（SHA1） | 542AA69A5F38DFD4CD9C41B03048B7BCE10124A7 | | フィンガープリント（SHA256） | AEEDAB7F871504EE07CEB3ED93AF034394548B1E655F7C759B9646AB78F0CEBB | | 失効日 | 2024 年 8 月 20 日 19:27:05 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA15 | | 認証局名称 | Cybertrust Japan SureCode CA G3 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 605809FFFD7AD23CC7793CFC3181DE152DFE1C19 | | 認証局証明書の有効期間 | 2020 年 6 月 22 日～ 2036 年 6 月 22 日 | | 署名方式 | SHA384 with RSA | | 認証局の鍵サイズ | 4096 bit | | フィンガープリント（SHA1） | A50C5F28193A2F2971517BE5DD3C2212AAEE5376 | | フィンガープリント（SHA256） | A2383AF3FDE129CCFB7865D057D40A1A4BDA70E1E45C53E8BB58681AF62E1B4B | | 失効日 | 2024 年 8 月 20 日 19:14:30 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA14 | | 認証局名称 | Cybertrust Japan SureCode CA G4 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 2141B3AAF2EFDF0F9FC1CBE2C6A8AB4E966DA06F | | 認証局証明書の有効期間 | 2020 年 6 月 22 日～ 2036 年 6 月 22 日 | | 署名方式 | ECDSA with SHA384 | | 認証局の鍵サイズ | 384 bit | | フィンガープリント（SHA1） | 7F466C2F01734A4034024DBD9E460515D3B80C76 | | フィンガープリント（SHA256） | 42A7E8F7E06F2FC1CE417B26AC6F724E7BCC520A3B64ED506C7AA0B6DA25D63E | | 失効日 | 2024 年 8 月 20 日 19:28:31 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA15 | | 認証局名称 | Cybertrust Japan SureTime CA G3 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 47C05BCA232CA403ABA01603F0584B6B150ACFFB | | 認証局証明書の有効期間 | 2021 年 9 月 9 日～ 2037 年 9 月 9 日 | | 署名方式 | SHA384 with RSA | | 認証局の鍵サイズ | 4096 bit | | フィンガープリント（SHA1） | 3C050F28F197CE9BBE16EE6551C9530D838D9AD5 | | フィンガープリント（SHA256） | F8D976C1190F85B54EBD88B45986FCF475D1A58F8CFD1D70B0E40A6346BBA4A6 | | 失効日 | 2024 年 8 月 20 日 19:15:53 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA14 | | 認証局名称 | Cybertrust Japan SureTime CA G4 | | ---------------------------- | ---------------------------------------------------------------- | | 認証局証明書のシリアル番号 | 3E745100E3A15C5D0288B4475F408E516A8337B5 | | 認証局証明書の有効期間 | 2021 年 9 月 9 日～ 2037 年 9 月 9 日 | | 署名方式 | ECDSA with SHA384 | | 認証局の鍵サイズ | 384 bit | | フィンガープリント（SHA1） | F95B7E1CA40A890941A5039DAD81463D92B3A4B7 | | フィンガープリント（SHA256） | 5022E703CD525D1D45F8CAB522C00B8D371891C9995D28F36E12906B8D1E9EBE | | 失効日 | 2024 年 8 月 20 日 19:29:50 (JST) | | 失効理由 | 利用中止 | | ルート認証局 | SecureSign Root CA15 |