インスタンスでの SSL/TLS 暗号化Descriptionお客様のセキュリティとプライバシーの保護は最優先事項の 1 つであるため、ServiceNow では SSL/TLS を使用してすべてのお客様のインスタンスの通信を暗号化します。クラス最高の保護を提供し続けるために、SSL/TLS 暗号化をアップグレードしています。 SHA1 アルゴリズムで署名された SSL 証明書には、侵害された場合に意図しない機密情報の開示につながる可能性のあるセキュリティ上の脆弱性が以前から知られているため、この変更を行っています。業界全体の取り組み (Google、Microsoft などが主導) により、この古いテクノロジーの使用を廃止するための期限が迫られています。 技術的な変更に加えて、ServiceNow はこの機会を利用して SSL 証明書をローテーションする頻度を増やしています。SSL 証明書の有効期間が短くなると、エクスポージャーウィンドウが短くなり、予期しないセキュリティの問題に対処するための柔軟性が向上します。最近の見出しの多くは、SSL プロトコルとその周辺技術 (Heartbleed、POODLE、ルート CA 侵害、不正な開示) のエクスポージャーを取り上げているため、ServiceNow は、これを現在および将来の脅威に先手を打つために必要なステップであると考えています。 SSL 認定の変更 SSL/TLS 暗号化をアップグレードすると、次の変更が行われます。 ServiceNow では、SSL 証明書をローテーションする頻度を増やし (現在は 6 か月ごと)、このアクティビティについて 14 日間の通知を引き続き提供します。これは業界のベストプラクティスであり、ServiceNow はお客様に向上したセキュリティを提供し、変化する脅威の状況により迅速に対応できるようなります。定期的な変更には、証明書の技術的性質やパフォーマンスに重大な影響を与えない変更が含まれますが、これらに限定されません。例: 証明書を新しい有効期限に置き換える古い証明書の取り消し追加のサーバー名やサポートされている暗号スイートなどの機能を追加する 注意:通知をトリガーする可能性があるイベントには、ルート CA プロバイダーの変更、機能やサポートされているアルゴリズムの無効化などがありますが、これらに限定されません。 ServiceNow では、SSL 証明書の事前コピーをお客様に提供しなくなりました。顧客は、当社の証明書ベンダーである Entrust が提供するルート証明書を信頼する必要があります。少数のユーザーが、新しい証明書とローテーションプロセスの変更の影響を受ける可能性があります。ServiceNow は、過去にこの種の変更の影響を受けた顧客を特定し、協力するためにあらゆる努力を払っています。この移行を支援するための情報とツールを引き続き提供します。 インスタンスがこの変更の影響を受けるかどうかを判断する ServiceNow Web アプリケーションを利用するすべての顧客は新しい SSL 証明書を使用しますが、ほとんどの場合、これは透過的な変更です。 手動による介入が必要になる可能性が高いのは、ハードコードされた ServiceNow SSL 証明書を使用する統合、キャッシュ、またはプロキシサーバーを使用している顧客のみです。 一部のインバウンド統合 (ServiceNow インスタンスに接続するサービス) では、現在の SSL 証明書がハードコードされている場合があります。影響を受ける可能性のある統合は、次のドキュメントで確認できます:サードパーティアプリケーションおよびデータソースとの統合。ServiceNow インスタンスに接続する統合のサービスオーナーに連絡して、SSL 証明書の変更が適切に処理されることを確認してください。https://<instance-name>.service-now.com/ のような URL を使用して ServiceNow インスタンスにアクセスする場合は影響を受けない可能性があります。別の URL で ServiceNow インスタンスにアクセスする場合は、ほとんどの場合プロキシを介してインスタンスにアクセスします。プロキシが SSL 証明書の変更を適切に処理できることを確認するには、IT 部門またはネットワーク管理者にお問い合わせください。 Internet Explorer、Firefox、Chrome、Safari などの通常の Web ブラウザーは影響を受けません。 SSL 証明書のアップグレードの準備 最新の Web ブラウザーを使用し、ソフトウェアパッチレベルを維持します。ServiceNow から提供された情報を読み、影響を受ける可能性のある組織のメンバーにこの変更を伝えます。ServiceNow では、ServiceNow 証明書をハードコーディングしないことをお勧めします。ハードコードされた証明書は、証明書の変更中にアクセスが中断される可能性があります。 ルート CA の変更に関する通知の受信 ServiceNow では、サードパーティの認証局 (CA) として Entrust を使用しています。*.service-now.comSHA-2 SSL 証明書は、2030 年 12 月 7 日に期限切れになる Entrust G2 ルートに固定されています。Entrust は、ルート階層に予定されている変更がないことを示しており、変更が発生した場合は、ルート CA の有効性に影響を与える可能性のある変更が行われる前に十分な通知が提供されます。 SSL 証明書の変更に関するヘルプの取得 SSL 証明書の変更に問題があると思われる場合は、ServiceNow テクニカルサポートにお問い合わせください。 SSL 証明書 インスタンスが SSL 証明書の変更の影響を受けると判断した場合は、この証明書情報を使用して問題を解決します。 2015 年 10 月以降のルート CA 証明書 Subject: C=US, O=Entrust, Inc., OU=See www.entrust.net/legal-terms, OU=(c) 2009 Entrust, Inc. - for authorized use only, CN=Entrust Root Certification Authority - G2 Issuer: C=US, O=Entrust, Inc., OU=See www.entrust.net/legal-terms, OU=(c) 2009 Entrust, Inc. - for authorized use only, CN=Entrust Root Certification Authority - G ルート認証局:Entrust ルート認証局:G2 Subject: C=US, O=Entrust, Inc., OU=See www.entrust.net/legal-terms, OU=(c) 2009 Entrust, Inc. - for authorized use only, CN=Entrust Root Certification Authority - G2Issuer: C=US, O=Entrust, Inc., OU=See www.entrust.net/legal-terms, OU=(c) 2009 Entrust, Inc. - for authorized use only, CN=Entrust Root Certification Authority - G2Validity Not Before: Jul 7 17:25:54 2009 GMT Not After : Dec 7 17:55:54 2030 GMTSerial Number: 1246989352 (0x4a538c28)SHA1 Fingerprint=8C:F4:27:FD:79:0C:3A:D1:66:06:8D:E8:1E:57:EF:BB:93:22:72:D4 ZIP ファイルへのリンク: star.service-now.com.crt MARCH2024.zip リーフ証明書: -----BEGIN CERTIFICATE-----MIIGsjCCBZqgAwIBAgIQQmV1poxvFkz/U/wftrBd2jANBgkqhkiG9w0BAQsFADCBujELMAkGA1UEBhMCVVMxFjAUBgNVBAoTDUVudHJ1c3QsIEluYy4xKDAmBgNVBAsTH1NlZSB3d3cuZW50cnVzdC5uZXQvbGVnYWwtdGVybXMxOTA3BgNVBAsTMChjKSAyMDEyIEVudHJ1c3QsIEluYy4gLSBmb3IgYXV0aG9yaXplZCB1c2Ugb25seTEuMCwGA1UEAxMlRW50cnVzdCBDZXJ0aWZpY2F0aW9uIEF1dGhvcml0eSAtIEwxSzAeFw0yNDAxMjMyMzUwMTFaFw0yNDExMTIyMzUwMTBaMG0xCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRIwEAYDVQQHEwlTYW4gRGllZ28xGTAXBgNVBAoTEFNlcnZpY2VOb3csIEluYy4xGjAYBgNVBAMMESouc2VydmljZS1ub3cuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAx8DJUw7FSGBE/uKQRLRDoUDhOfRXKugGXG8VJUCDNsAZOWmr2zN12yoBtw3eOWe7rwqcikR9dEVk0sLw0dGd/240+DwLw7X0HhnulnxOCrkixaLJ2ATThVdqQJV7GVSyYccHTJ0XheN3bvyX0Hk06txMkFC8j49WfJYkNezChuM2ZCMnRNpaBgsC5VEPbXUWDXfb2H7JfEg3kRqMW0jIyYgjPujSfLUXE+3AXcBYPRE6PhwvNPvUsmvYQVnQM7/2nidWqTmWFyWFEQ++8DQkK81wr4M9c0AuzpKUJ1Lm292ELJ0dpKlOBa6DcCVNQqxUA6VMAUZe5lXOl24e1CjtxwIDAQABo4IC/jCCAvowDAYDVR0TAQH/BAIwADAdBgNVHQ4EFgQUACzAf6PWobGGrKA6rfxZ6+RDLpUwHwYDVR0jBBgwFoAUgqJwdN28Uz/Pe9T3zX+nYMYKTL8waAYIKwYBBQUHAQEEXDBaMCMGCCsGAQUFBzABhhdodHRwOi8vb2NzcC5lbnRydXN0Lm5ldDAzBggrBgEFBQcwAoYnaHR0cDovL2FpYS5lbnRydXN0Lm5ldC9sMWstY2hhaW4yNTYuY2VyMDMGA1UdHwQsMCowKKAmoCSGImh0dHA6Ly9jcmwuZW50cnVzdC5uZXQvbGV2ZWwxay5jcmwwRwYDVR0RBEAwPoIRKi5zZXJ2aWNlLW5vdy5jb22CD3NlcnZpY2Utbm93LmNvbYIYKi5zdGF0aWMuc2VydmljZS1ub3cuY29tMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwEwYDVR0gBAwwCjAIBgZngQwBAgIwggF8BgorBgEEAdZ5AgQCBIIBbASCAWgBZgB1AD8XS0/XIkdYlB1lHIS+DRLtkDd/H4Vq68G/KIXs+GRuAAABjTi7QCYAAAQDAEYwRAIgLC3eAzhnM1GrFAOFou1m+2ePL44AnCu6rD+k3vPmD9gCIDIGzKF0sKq926/VYJJeHnnHP+qJPt6IUMF1nz7q7ei8AHYAVYHUwhaQNgFK6gubVzxT8MDkOHhwJQgXL6OqHQcT0wwAAAGNOLtAOQAABAMARzBFAiAN3x8Fc4KKcHqqln1VHcUJfrmAnlIMaB9JOZ8kxHgsuAIhAL9lR1PdI0/1FWdO/gDDexiQr61KrEuvm/sT8frGtrY7AHUA7s3QZNXbGs7FXLedtM0TojKHRny87N7DUUhZRnEftZsAAAGNOLtATwAABAMARjBEAiBQ652jLev+J7Q7AeS4LkwMNDgmPdp9ZXP1oq0rnBBDGwIgc0HKK4khgw1X8OXjXB0a44mmlx8WPkK6VDqXSZWahREwDQYJKoZIhvcNAQELBQADggEBAEhAiRnofZNwwZJi61wxpJfFN7TyribLeVmwcWXKL/Q1oBz7sohx9pCbWrGh1wWEQN9vU8w/NoflvToN29UuFugWeeQMJKcITZIPxtwIpgQU0D2ZyAEqicRrWDp5aBQmFaPZP/FCFr/ijukY7Czvwo3aE+V4cR20RQ3Inlz46dr4rGwjHTPj0DG62ZmHJwhKdnPBl42UF1bsWAE7LjAqnjjsYODU3c895Cg2OzwxF7AT+N/8ZXykYJqezflfmVsdzs0paMwUw0R5nuVbycYxkAQIV6d85lkgF2xVUykjAJhwzSCSSnypy81rgb6zuqMD3k7GCYp88P38ebJjXF6ReB0=-----END CERTIFICATE----- *.service-now.com SSL 証明書と関連する Entrust チェーン証明書は変更される可能性があり、ここでは提供されないことに注意してください。詳細情報が必要な場合は、ServiceNow テクニカルサポートにお問い合わせください。 関連 KB:データセンターがホストされている場所を特定する方法- KB0538621