Lotus Domino の Java アプレットの証明書が 2009 年 5 月で期限切れとなる

Lotus Domino 6.5.x、7.0.x、8.0.x、8.5 のリリース（※）にて使用されている Java アプレットの証明書の有効期限は、2009 年 5 月 19 日に設定されています。
2009 年 5 月 19 日以降、Web ユーザーが Lotus Domino 上の Java アプレットを含むページにアクセスすると、セキュリティ警告のダイアログ内に有効期限が切れていることを意味する以下のメッセージが表示されることがあります。

このセキュリティ証明書が期限が切れているか、まだ有効になっていません。
このセキュリティ証明書は有効期限が切れているか、またはまだ有効ではありません。
このデジタル署名は、信頼できる証明書を使って生成されましたが、期限が切れています。
The digital signature was generated with a trusted certificate but has expired or is not yet valid.
The security certificate has expired or is not yet valid.

（※）対象となるのは、下記 Lotus Domino を利用し、かつ「この発行者からのコンテンツを常に信頼します」にチェックを入れていないため、Web ブラウザよりアプレットにアクセスするたびにセキュリティ警告が表示される環境です。

(1) 2009 年 5 月 19 日が有効期限に設定された証明書で署名された Java アプレットを含む出荷済みリリース（Hotfix、Fix Pack 適用環境を含む）。
・Lotus Domino 6.5.5 Fix Pack 2 (FP2) 以降の 6.5.x
・Lotus Domino 7.0.1 Fix Pack 1 (FP1)、7.0.2、7.0.3、7.0.4
・Lotus Domino 8.0 - 8.0.2
・Lotus Domino 8.5

(2) 以下の技術文書にて公開されている Interim Fix をダウンロードし、適用した環境。
(英文)「Re-signed Java applets for Lotus Domino」(Technote #4012408)

(3) 問題報告番号 NBRR6DETXC の Hotfix を適用している環境。

上述のリリース未満の環境、もしくは Interim Fix や Hotfix を適用していない環境では、2006 年や 2005 年など、さらに古い有効期限の証明書で Java アプレットが署名されています。
そのため、2009 年 5 月 19 日にならずとも、Web ブラウザにて常に International Business Machines Corporation からのコンテンツを常に信頼する設定となっていない場合、上記の有効期限切れのメッセージが表示されます。

証明書の有効期限が切れてダイアログ内に上記のメッセージが表示されたとしても、Domino Java アプレットの動作に問題はありません。

Lotus Notes/Domino の Java アプレットは、証明書の有効期限内に署名が実施された場合に、署名の信頼性が保証されています。出荷済みの Lotus Notes/Domino については、証明書の有効期限内に署名が実施されているため、署名の信頼性に問題はありません。

＜回避策＞
この問題に直面した場合、次のいずれかの方法で回避してください。

1. 証明書を常に信頼する。

初めて警告メッセージが表示されたときに、「この発行者からのコンテンツを証明書を常に信頼します」にチェックを入れてから実行すると、次回以降表示されなくなります。

Lotus Domino に Web ブラウザからアクセスした場合に表示されるすべての Java アプレットは、証明書の有効期限内に署名されています。セキュリティ警告のメッセージは、アプレットの署名に使用した証明書の有効期限が切れていることをユーザーに通知するものであり、有効期限が過ぎることによって Java アプレットのセキュリティやアプレットの機能に影響を及ぼすものではありません。

2. 有効期限が延長された証明書で署名されたアプレットを入手する。

以下の Technote より、有効期限が 2012 年に延長された証明書で署名されたアプレットをダウンロードできます。
「有効期限を延長した証明書で署名された Domino Java アプレットのダウンロード」(Technote #732794)

証明書の有効期限を延長する作業は、Lotus Notes/Domino の開発プロセスに組み込まれているため、ユーザー側で証明書の有効期限を延長する方法はありません。

Java アプレットを署名するプロセスで使われるデジタル証明書には、一定の有効期間が設けられています。通常 1 年から 3 年です。
証明書の有効期間内に署名された Java アプレットであれば、署名は有効です。しかしながら、Java アプレットを実行するために、Microsoft Internet Explorer、Mozilla もしくは Firefox ブラウザの中で使われる Java Runtime Engine (JRE) は、Web アクセスした時の日付が証明書の有効期限を過ぎている場合に、本当にそのアプレットが証明書の有効期間内に署名されたものかを判断することができません。そのため、Web ブラウザは、Java アプレットが信頼できる証明書で正しく署名されていても、証明書の有効期限が切れているというメッセージを含むダイアログを表示します。

有効期限が切れた証明書で署名された Java アプレットは、ダウンロードしたり使用したりするのは安全ではないというのはよくある誤解です。
証明書の有効期限内に署名された Java アプレットは信頼でき、また JVM や JRE には Java アプレットが認証局 (CA) によって発行された証明書で電子的に署名された後で変更されている場合には警告する義務があります。JVM や JRE が Java アプレットが署名されてから変更されたというエラーを返さない限り、Java アプレットは信頼でき、安全に実行できます。

「有効期限を延長した証明書で署名された Domino Java アプレットのダウンロード」(Technote #732794)

「Lotus Domino 6.x/7.x に含まれる Lotus Domino アプレットの証明書の有効期限切れについて」(Technote #729409)

Lotus Domino 関連製品の Java アプレットで発生する同様の問題については、下記の Technote をご参照ください。
「Knowledge Collection：Lotus Domino および関連製品で使用している Java アプレットの証明書が 2009 年 5 月で期限切れとなる」(Technote #732813)

--- 更新履歴 ---
2009/05/14 Sametime のリンクを Knowledge Collection に差し替え
2009/05/08 Lotus Sametime で発生する同様の問題のリンク追加
2009/05/07 回避策 2 の追加
2009/05/01 初公開