SHA-1の廃止と SHA-2版SSLサーバ証明書への移行

グーグル社はオンラインコミュニティーの安全性を高め、信頼を強めるための対策として、2014年9月、SHA-1を順次廃止し、今後リリースされるChrome上にてSHA-1版のSSLサーバ証明書を利用しているサイトには警告を表示すると発表しました。

この変更は世界中のウェブサイト運営者にとっては痛みを伴うものになるでしょうが、避けることのできないことでもあります。時と共にコンピューティングは進歩し、古い暗号作成方法では安全性を保てなくなる状況がいずれやってきます。今回の場合では、SHA-1が衝突攻撃に対応できないと判断されたのです。

グーグル社に先だって、マイクロソフト社も2013年11月にSHA-1廃止プランを発表しましたが、このプランでは、SHA-2への移行には3年間の猶予が与えられていました。一方グーグル社が与える移行の猶予期間は、2014年9月現在、2~6ヶ月となっています。グーグル社は2014年秋から2015年初頭にかけてリリースされるChrome 39、40、及び41の利用時において、SHA-1版のSSLサーバ証明書を使用しているサイトには警告を表示すると発表しています。 (2015年3月、Chrome 41での対応予定は 42 での対応に延期されたことが Googleの開発者フォーラム にコメントされました。)

何をすべきか?

まず、自組織内で利用しているSHA-1版のSSLサーバ証明書を確認し、そして利用しているサーバがSHA-2の利用をサポートしているかの確認することから始めましょう。

グーグル社によるSHA-1廃止に向けた動きは2014年11月から2015年1月にかけて行われる予定であり、SHA-1版SSLサーバ証明書を利用しているウェブサイトには次のような段階で警告を表示するとされています。

イメージ

*この表に示す内容はあくまで予定です。Google社はChromeのリリース日程について、まだ公式のアナウンスを出しておりません。上記のスケジュールは、過去のChromeのリリース実績に基づくEntrust社の想定 ですので、最終的な情報ではありません。

この警告はChrome利用者に影響を与え、ユーザーのページ離脱を招いたり、サポートコールの増加などが予想されます。

このことより、2016年以降に有効期限を迎えるすべてのSHA-1版SSLサーバ証明書は、SHA-2版への移行をするべきと言えるでしょう。

SHAとは?

SHA(Secure Hash Algorithm、ハッシュ関数)は公開鍵暗号化にて用いられる代表的な関数のひとつです。1993年に初めて登場して以来、発展を続けています。今日までに、ハッシュ関数のシリーズはこれまでにSHA-0(1993年)、SHA-1(1995年)、そしてSHA-2(2001年)がリリースされています。また最新型のSHA-3もリリースの準備が進められています。

日本のお客様への注意事項

携帯電話(フィーチャーフォン、いわゆるガラパゴス携帯)などには、新しい署名アルゴリズム対応に制約があることから、SHA-2対応できない機種も存在します。SHA-2版証明書に更新することにより、それらのSHA-2非対応のデバイスからのアクセスに問題が起きる場合もございます。今回のChrome対応のための証明書更新においては、この点も併せてご留意いただきますよう、お願い致します。

関連ページ

参考ページ

 SHA-1廃止に関するグーグル社の発表(英語)

 SHA-1廃止に関するマイクロソフト社の発表(英語)

 SHA-1廃止に関する米国エントラストによる考察(英語)

 SHA-2型暗号化アルゴリズム(英語)

 CA Security Council によるSHA-2 サポート製品リスト (英語)

 SHA-1廃止に関するChromeの対応予定変更(英語)

関連製品

 SSLサーバ証明書

 Entrust Authority(PKI基盤)

お問い合わせフォームはこちら 

影響を受けるSSLサーバ証明書

SHA-2版SSLサーバ証明書

今回のグーグル社によるSHA-1廃止の影響は受けません。
ただし、2017年以降に有効期限が切れる証明書については、
将来的にマイクロソフト社のSHA-1廃止プランの影響を受ける可能性がありますので、
その際は別途ご案内差し上げます。

SHA-1版SSLサーバ証明書
有効期限が2015年12月31日まで
もしくはそれ以前

現状のSSLサーバ証明書をそのまま使い続けることができます。
ただし、証明書を更新するときはSHA-2版にする必要があります。

SHA-1版SSLサーバ証明書
有効期限が2016年1月1日以降

そのまま使い続けると上記のような警告が表示されるため、
今すぐSHA-2への移行が必要です

※影響を受けるブラウザはChrome 39、40、及び41と言われています

エントラストがご提案する対応策

利用しているSSLサーバ証明書がSHA-1なのか、それともSHA-2なのか分からない…

→ そんな場合は、エントラストにお任せ!!
IdentityGuard CloudのSSLサーバ証明書自動検出ツール”Discovery”が便利です!

Discoveryとは…?

エントラストのクラウド型セキュリティ統合プラットフォームIdentityGuard Cloudにおいて提供するサービスのひとつで、組織内で保有しているあらゆるSSLサーバ証明書の自動検出と在庫管理を行うツールです。

 IdentityGuard Cloudの詳細はこちら

 Discoveryの詳細はこちら

Discoveryを使えば…

エントラスト以外の他社が発行した証明書を含めた組織内のすべてのSSLサーバ証明書を検出し、そのなかから2017年1月1日以降に有効期限が切れるSHA-1版の証明書を洗い出すことができます。簡単に対象となるSSLサーバ証明書を見つけ出すことができるため、いち早く対策を打つことを可能とします。

簡単3ステップで対策完了!

急いで対策が必要だからこそ、シンプルかつ確実な方法で対応をお進めください。


STEP1

 


IdentityGuard CloudDiscoveryの無料利用*に申し込む

down

 


STEP2

 

Discoveryを使って組織内の
SSLサーバ証明書からSHA-1版を洗い出し、
有効期限を確認する

down

 


STEP3

 

有効期限が
2017年1月1日以降の証明書を
SHA-2版へ移行する

*Discoveryの無料提供対象はCMS(IdentityGuard Cloud SSL Enterprise)のお客様です。
*Discoveryを新規利用をご希望の方も下記よりお気軽にお問い合わせください

まずはお気軽にご相談、お問い合わせください。
セキュリティのプロがあなたの不安を解決し、必要な対策をアドバイス致します。

Discoveryのお申し込みはこちら 

ご質問・ご相談 お気軽にお問い合わせください

電話でのお問い合わせ

03-6738-6710

(平日9:00~18:00受付)

メールフォームからお問い合わせ

お問い合わせ カタログダウンロード

ページの先頭へ