インスタンスでの SSL/TLS 暗号化Issue <!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 顧客のセキュリティとプライバシーの保護は ServiceNow の最優先事項であるため、ServiceNow では SSL/TLS を使用してすべての顧客インスタンスの通信を暗号化しています。クラス最高の保護を提供し続けるために、SSL/TLS暗号化に使用される証明書を定期的に更新します。SSL証明書の有効期間が短いため、公開期間が短縮され、予期しないセキュリティ問題に対処するための柔軟性も向上します。最近の多くの見出しでは、SSL プロトコルとその周辺テクノロジー (Heartbleed、POODLE、ルート CA 侵害、不正な開示) のエクスポージャーが取り上げられているため、ServiceNow では、現在および将来の脅威に先手を打つために必要なステップと見なしています。 SSL証明書の変更について 現在、ServiceNow は 6 か月ごとに証明書をローテーション/更新し、このアクティビティを 14 日前に通知します。 これは業界のベストプラクティスであり、ServiceNow により顧客のセキュリティを向上させることができます。既存の ServiceNow 証明書をハードコーディングして、証明書自体の更新時に手動で変更するのではなく、証明書ベンダーである Digicert が提供するルート証明書を信頼することをお勧めします。Entrust が発行した証明書が Chrome ブラウザーで受け入れられなくなるという Google の 発表 により、ServiceNow は Entrust ではなく Digicert からインスタンス用の新しい証明書 (*.service-now.com 証明書またはワイルドカード証明書とも呼ばれます) を発行します。シームレスな移行を確実にするために、お客様とそのサードパーティシステムも Digicert からのルート証明書を信頼するように設定することをお勧めします。 インスタンスが通常の 6 か月の証明書更新の影響を受けるかどうかを判断する。 ServiceNow Web アプリケーションを利用するすべての顧客は新しい SSL 証明書を使用しますが、ほとんどの場合は これは透過的な変更です。 手動操作が必要になる可能性が高いのは、現在の ServiceNow SSL 証明書 (および/またはその中間証明書とルート証明書) をハードコードした統合、キャッシュ、またはプロキシサーバーを使用している顧客だけです。 一部のインバウンド統合 (ServiceNow インスタンスに接続するサービス) では、現在の SSL 証明書がハードコードされている場合があります。ServiceNow インスタンスに接続する統合のサービスオーナーに問い合わせて、SSL 証明書の変更が適切に処理されることを確認してください。ServiceNow では、インスタンスに接続しているサードパーティシステムのうち、どのサードパーティシステムが現在の証明書をハードコードしているかを判断することは技術的に不可能です。これは、ユーザーがブラウザにパスワードを保存するのと似ており、入力したパスワードが正しいかどうかを確認することしかできず、そのパスワードがどのように保持されているかを判断することはできません。 https://<instance-name>.service-now.com/ 以外の URL またはインスタンスを介して展開されたカスタム URL (はこちらを参照) で ServiceNow インスタンスにアクセスする場合、プロキシ経由でインスタンスにアクセスしている可能性があります。IT 部門またはネットワークアドミニストレーターに問い合わせて、プロキシが SSL 証明書の変更を適切に処理できることを確認してください。 Internet Explorer、Firefox、Chrome、Safari などの通常の Web ブラウザは 影響を受けません 。 MID サーバーの受信証明書ベースの認証は、 この機能に関連するすべての証明書をお客様が作成および管理する必要があるため、影響を受けません。 SSL 証明書のアップグレードの準備 更新された Web ブラウザーを使用し、ソフトウェアのパッチレベルを維持します。ServiceNow から提供される情報を読み、影響を受ける可能性のある組織内のすべてのメンバーにこの変更を通知します。ServiceNow では、ServiceNow 証明書をハードコーディングしないことをお勧めします。ハードコードされた証明書は、古い証明書が新しい正しい証明書に手動で置き換えられるまで、証明書の変更中にアクセスが中断される可能性があります。 Facts<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 次のコメントを使用して、既存の証明書情報を確認できます。 openssl s_client -tls1_3 -connect <instancename>.service-now.com:443 openssl s_client -tls1_2 -connect <instancename>.service-now.com:443 TLS 1_3 バージョンは、TLS 1.3 がインスタンスで利用可能な場合にのみ正常な結果を返すことに注意してください。 Release<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } すべてのリリース。 Resolution<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } SSL 証明書の変更に関するヘルプの取得 SSL 証明書の変更に問題があると思われる場合は、にお問い合わせください ServiceNow テクニカルサポート。インスタンスに接続しているどのサードパーティシステムで現在の証明書がハードコードされているかを ServiceNow が判断することは技術的に不可能であるため、どのサードパーティシステムが影響を受ける可能性があるかを判断するのにサポートは行えません。 SSL 証明書 SSL 証明書の変更による影響を受ける可能性があると判断した場合は、KB に添付されている zip ファイル内の証明書を使用します。証明書ローテーションの影響を受けないようにするには、既存の *.service-now.com 証明書と今後の *.service-now.com 証明書の両方をサードパーティアプリケーションのトラストストアに追加することをお勧めします。 Digicert ルート CA は、ほとんどのトラストストアとブラウザで使用できます。ルート CA が必要な場合は、digicert - Digicert Root CAからダウンロードしてください。 Related Links<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 関連 KB: データセンターがホストされている場所を決定する方法は?- KB0538621 Entrust および Digicert の MID サーバーの OCSP 要件 - KB1709661 ServiceNow Entrust 認証局 (CA) の置き換え - KB1702083 (この変更は 2025 年初頭に完了しました)