流通BMSガイドライン改定に対するACMSの対応(更新版)
拝啓 貴社ますますご清祥のこととお慶び申し上げます。平素は格別のお引き立てを賜り、ありがたく厚く御礼申し上げます。 さて、流通システム標準普及推進協議会 技術仕様検討部会からの依頼に対し、弊社では下記のとおり対応しておりますので、何卒、ご確認の程お願い申し上げます。
記
【1】署名アルゴリズムの SHA-1 から SHA-2 への変更
流通開発標準普及推進協議会の告知「流通 BMS 流通業界共通認証局証明書ポリシー改訂に伴うご対応のお願い」に記載された脆弱性対応へのご案内です。
■ 告知日:2015年3月30日 http://www.dsri.jp/ryutsu-bms/standard/data/CP_20150330.pdf
■ 製品別対処方法 ●対象製品:ACMS E2X / ACMS B2B / ACMS B2B LE ●SHA-2への対応:SHA-224※1、SHA-256、SHA-384、SHA-512のSHA-2に対応 ※1:SHA-224を使用する場合はACMSサーバがJava8で稼動している必要があります。
[対処方法] 認証局よりSHA-2版証明書を入手し以下の作業を行っていただく必要があります。なお、SHA-2版証明書の入手方法は認証局各社にご確認ください。
1.SHA-2版証明書の入手
1.1.現在ご使用のサーバ証明書のSHA-2版を入手 現在ご使用のSHA-1版サーバ証明書の有効期限が切れるまでにご対応ください。 相手先がサーバ証明書の事前交換を求める場合は、SHA-2版を送付してください。 (ACMS E2X / ACMS B2B / ACMS B2B LEは、事前交換は不要です。)
1.2.現在ご使用のクライアント証明書のSHA-2版を入手 現在ご使用のSHA-1版クライアント証明書の有効期限が切れるまでにご対応ください。 相手先がクライアント証明書の事前交換を求める場合、SHA-2版を送付してください。 (ACMS E2X / ACMS B2B / ACMS B2B LEは、事前交換は不要です。)
1.3.認証局3社のルート証明書および中間証明書のSHA-2版を入手 2015年10月より認証局から入手が可能になりましたので、各認証局リポジトリより早急に入手してください。 一括適用される場合は下記からダウンロードしてください。
2.keystoreに各証明書をインポート インポート方法はkeytoolのコマンドヘルプ、ドキュメント、およびACMS E2X/ACMS B2B/ACMS B2B LEに同梱されている「AdditionalGuide.pdf」の「2.1. SSLプロトコルを使用した通信」をご参照ください。
2.1.SHA-2版サーバ証明書をkeystoreにインポート SHA-2版サーバ証明書をインポートする際、SHA-1版サーバ証明書は削除します。 本作業は、すべての取引先クライアント環境においてSHA-2版のルート証明書および中間証明書の適用が完了している必要があります。 適用が未完了の取引先とは通信が行えないため、取引先の適用状況を必ずご確認いただいてからインポート作業を行ってください。
2.2.SHA-2版クライアント証明書をkeystoreにインポート SHA-2版クライアント証明書を入手した場合は、SHA-1版クライアント証明書を削除してからインポートを行います。
2.3.認証局3社のルート証明書および中間証明書のSHA-2版をkeystoreにインポート 入手したzipを解凍後、「流通業界共通認証局証明書適用のご案内.pdf」に従いインポートを行います。 すべての通信相手先がSHA-2への対応が完了するまではクロス期間となりますので、keystore内にSHA-2とSHA-1の両方のルート証明書および中間証明書がインポートされている必要があります。
●対象製品:ACMS Lite Neo ●SHA-2への対応:SHA-256、SHA-384、SHA-512のSHA-2に対応
[対処方法] 認証局よりSHA-2版証明書を入手し以下の作業を行っていただく必要があります。なお、SHA-2版証明書の入手方法は認証局各社にご確認ください。
1.認証局3社のSHA-2版ルート証明書および中間証明書を入手 2015年10月より認証局から入手が可能になりましたので、各認証局リポジトリより早急に入手してください。 一括適用される場合は下記からダウンロードしてください。
2.Windowsストアに各証明書をインポート 入手したzipを解凍後、「流通業界共通認証局証明書適用のご案内.pdf」に従いインポートを行います。 すべての通信相手先がSHA-2への対応が完了するまではクロス期間となりますので、Windowsストア内にSHA-2とSHA-1の両方のルート証明書および中間証明書がインポートされている必要があります。
【2】SSLver3.0脆弱性対応(TLSへの移行対応)
流通開発標準普及推進協議会の告知「SSLver3.0 脆弱性対応のお願い」に記載された脆弱性対応へのご案内です。 流通BMSの暗号化通信で使用されるSSLプロトコルバージョンについては「SSL3.0」を廃止し「TLS」を使用することが義務付けられています。
■ 告知日:2015年4月21日 http://www.dsri.jp/ryutsu-bms/standard/data/SSLv3_201504.pdf
■ 製品別対処方法 ●対象製品:ACMS E2X / ACMS B2B / ACMS B2B LE
[対処方法] ACMSサーバが使用するJavaを以下のバージョン以降を使用してください。 なお、ACMS Ver.3.5.0以下のバージョンをご使用の場合はJava 6、Java 7およびJava 8は未サポートです。動作保障済みのバージョンへのアップグレードをご検討ください。
・Java 8 update 31以降(Java 8 はACMS Ver.4.2.0以降にて動作保障) ・Java 7 update 75以降(Java 7 はACMS Ver.3.9.0以降にて動作保障) ・Java 6 update 91以降(Java 6 はACMS Ver.3.6.0以降にて動作保障) なおJava 6 update 45より以降は有償サポート版となります。
動作保障のJavaの使用により、ACMSは次のように動作します。この場合、ACMSでの設定はありません。 ①ACMSが発信の場合、ネゴシエーション時にTLS 1.0を使用し、かつ、サーバ側がSSL3.0を選択した場合に拒否します。 ②ACMSが着信の場合、相手からのネゴシエーションがSSL3.0の場合に拒否します。 [SSL3.0を許容する場合] 通信相手先の諸事情によりSSL3.0を許容する必要がある場合は、<JRE_HOME>/lib/security/java.securityの以下の設定から"SSLv3"を削除してください。 jdk.tls.disabledAlgorithms=SSLv3
●対象製品:ACMS Lite Neo
[対処方法] 不要です。 ACMS Lite Neoの場合、ネゴシエーション時にTLS 1.0を使用し、かつ、サーバ側がSSL3.0を選択した場合に拒否します。接続先サーバの都合によりSSL3.0を許容する必要がある場合は、以下の回避策を行ってください。
(JX手順におけるSSL通信エラーと回避方法) /products/edi/liteneo/pdf/SSL_communication_error_20100817.pdf また、同様の記載がACMS Lite Neoに同梱されている「トラブルシューティングマニュアル.pdf」の「4-4.SSL通信エラー20101137の回避を行う場合」に記載しますので、あわせてご参照ください。
【3】再ネゴシエーション時における脆弱性への対応
流通開発標準普及推進協議会の告知「SSLver3.0 脆弱性対応のお願い」に記載された脆弱性対応へのご案内です。 「再ネゴシエーション時における脆弱性」に関する詳細はPartner's POTALにある2013/08/30掲載の「Oracle JavaでのSSL/TLS Renegotiation脆弱性への対応の影響について」をご覧ください。
■ 告知日:2015年4月21日 http://www.dsri.jp/ryutsu-bms/standard/data/SSLv3_201504.pdf
■ 製品別対処方法 ●対象製品:ACMS E2X / ACMS B2B / ACMS B2B LE
[対処方法] ACMSサーバが使用するJavaをJava 7もしくはJava 8としてください。 現在の環境において、再ネゴシエーション障害対策のためにACMSの起動Javaパラメータ(※)を追加されている場合、本告知により通信相手先は脆弱性対応されるためJavaパラメータは削除してかまいません。ただし、通信相手先が脆弱性対応済みであるかが不明な場合に限り、そのままとしてください。 ※再ネゴシエーション脆弱性非対応の相手先との障害を回避するJavaパラメータ -Dsun.security.ssl.allowUnsafeRenegotiation=true Javaパラメータに関する詳細はPartner's POTALにある2013/08/30掲載の「Oracle JavaでのSSL/TLS Renegotiation脆弱性への対応の影響について」をご覧ください。
●対象製品:ACMS Lite Neo
[対処方法] 不要です。
|