流通BMSガイドライン改定に対するACMSの対応
拝啓 貴社ますますご清祥のこととお慶び申し上げます。平素は格別のお引き立てを賜り、ありがたく厚く御礼申し上げます。 さて、流通システム標準普及推進協議会 技術仕様検討部会からの依頼に対し、弊社では下記のとおり対応しておりますので、何卒、ご確認の程お願い申し上げます。
記
【1】署名アルゴリズムの SHA-1 から SHA-2 への変更
■ 告知日:2015年3月30日 http://www.dsri.jp/ryutsu-bms/standard/data/CP_20150330.pdf
■ 製品別対処方法 ●対象製品:ACMS E2X / ACMS B2B / ACMS B2B LE ●SHA-2への対応:SHA-224※1、SHA-256、SHA-384、SHA-512のSHA-2に対応 ※1:SHA-224を使用する場合はACMSサーバがJava8で稼動している必要があります。
[対処方法] 認証局によるSHA-2版証明書の発行が開始された後、以下の作業を行っていただく必要があります。なお、SHA-2版証明書の入手可能時期や入手方法は認証局各社にご確認ください。
1.現在ご使用のサーバ証明書のSHA-2版を入手 相手先がサーバ証明書の事前交換を求める場合は、SHA-2版を送付してください。 (ACMS E2X / ACMS B2B / ACMS B2B LEは、事前交換は不要です。)
2.現在ご使用のクライアント証明書のSHA-2版を入手 相手先がクライアント証明書の事前交換を求める場合、SHA-2版を送付してください。 (ACMS E2X / ACMS B2B / ACMS B2B LEは、事前交換は不要です。)
3.認証局3社のルート証明書および中間証明書のSHA-2版を入手
4.keystoreに各証明書をインポート SHA-2版サーバ証明書をインポートする際、SHA-1版サーバ証明書は削除します。 そのため、すべての取引先クライアント環境においてSHA-2版のルート証明書および中間証明書の適用が完了している必要があります。 適用が未完了の取引先とは通信が行えないため、取引先の適用状況を必ずご確認いただいてからインポート作業を行ってください。 インポート方法はkeytoolのコマンドヘルプ、ドキュメント、およびACMS E2X/ACMS B2B/ACMS B2B LEに同梱されている「AdditionalGuide.pdf」をご参照ください。 クロス期間中は、keystore内にSHA-2とSHA-1の両方のルート証明書および中間証明書がインポートされている必要があります。
●対象製品:ACMS Lite Neo ●SHA-2への対応:SHA-256、SHA-384、SHA-512のSHA-2に対応
[対処方法] 認証局によるSHA-2版証明書の発行が開始された後、以下の作業を行っていただく必要があります。なお、SHA-2版証明書の入手可能時期や入手方法は認証局各社にご確認ください。
1.認証局3社のSHA-2版ルート証明書および中間証明書を入手
2.Windowsストアに各証明書をインポート インポートの方法はACMS Lite Neoに同梱されている「JX手順クライアント設定マニュアル.pdf」の「第4章 証明書設定」をご参照ください。 クロス期間中は、Windowsストア内にSHA-2とSHA-1の両方のルート証明書および中間証明書がインポートされている必要があります。
【2】SSLver3.0脆弱性対応(TLSへの移行対応)
■ 告知日:2015年4月21日 http://www.dsri.jp/ryutsu-bms/standard/data/SSLv3_201504.pdf
■ 製品別対処方法 ●対象製品:ACMS E2X / ACMS B2B / ACMS B2B LE
[対処方法] ACMSサーバが使用するJavaを以下のバージョン以降を使用してください。 なお、ACMS Ver.3.8.0以下のバージョンをご使用の場合はJava 7およびJava 8は未サポートです。動作保障済みのバージョンへのアップグレードをご検討ください。 ・Java 7 update 76以降(Java 7 はACMS Ver.3.9.0以降にて動作保障) ・Java 8 update 31以降(Java 8 はACMS Ver.4.2.0以降にて動作保障)
動作保障のJavaの使用により、ACMSは次のように動作します。この場合、ACMSでの設定はありません。 ①ACMSが発信の場合、ネゴシエーション時にTLS 1.0を使用し、かつ、サーバ側がSSL3.0を選択した場合に拒否します。 ②ACMSが着信の場合、相手からのネゴシエーションがSSL3.0の場合に拒否します。 ③SSL3.0を許容する場合は、<JRE_HOME>/lib/security/java.securityの以下の設定から"SSLv3"を削除してください。 jdk.tls.disabledAlgorithms=SSLv3
●対象製品:ACMS Lite Neo
[対処方法] 不要です。 ACMS Lite Neoの場合、ネゴシエーション時にTLS 1.0を使用し、かつ、サーバ側がSSL3.0を選択した場合に拒否します。接続先サーバの都合によりSSL3.0を許容する必要がある場合は、以下の回避策を行ってください。
(JX手順におけるSSL通信エラーと回避方法) http://www.dal.co.jp/products/edi/liteneo/pdf/SSL_communication_error_20100817.pdf また、同様の記載がACMS Lite Neoに同梱されている「トラブルシューティングマニュアル.pdf」の「4-4.SSL通信エラー20101137の回避を行う場合」に記載しますので、あわせてご参照ください。
【3】再ネゴシエーション時における脆弱性への対応
■ 告知日:2015年4月21日 http://www.dsri.jp/ryutsu-bms/standard/data/SSLv3_201504.pdf
■ 製品別対処方法 ●対象製品:ACMS E2X / ACMS B2B / ACMS B2B LE
[対処方法] ACMSサーバが使用するJavaをJava 7もしくはJava 8にしていただくことで対応完了 詳しくは、Partner's POTALにある2013/08/30掲載の「Oracle JavaでのSSL/TLS Renegotiation脆弱性への対応の影響について」をご覧ください。
●対象製品:ACMS Lite Neo
[対処方法] 不要です。
|