昨年発表されたSHA-1の廃止計画に従って、Google、Microsoft、Mozillaは、SHA-1証明書のサポートを主力ブラウザから削除するためのスケジュールを説明している。
2017年1月の終わりにstableチャンネルにリリース予定のChrome 56は、パブリックCAから発行されたSHA-1証明書すべてを信頼するのをやめて、警告を出すようになる。EnableSha1ForLocalAnchors
ポリシーを使用した場合、引き続き、企業内で使われるような非公開のPKIに対するSHA-1サポートを提供する。これはOSが提供するSHA-1サポートに依存している。
現在は開発者向けで、2017年1月にリリース予定のFirefox 51で、SHA-1証明書を信頼するのをやめる。実使用に与える影響を評価するために、Mozillaは2016年11月の初め、ベータユーザーの一部でSHA-1非推奨のベータテストを開始した。手動でインストールされた証明書は、デフォルトで機能する。
Microsoft EdgeとInternet Explorer 11は、2017年2月14日からSHA-1証明書を使ったWebサイトのロードをやめる。ユーザーには、無効な証明書の警告を無視してWebサイトにアクセスするオプションが提供される。ここでも、手動でインストールしたSHA-1証明書や自己署名したSHA-1証明書は、影響を受けない。
Safari
SafariのメーカーであるAppleも、SHA-1や3DESなど安全でないとみなされるアルゴリズムを廃止し始めている。これはmacOS最新バージョンのSierraに現れており、SHA-1で署名された証明書を提示しているWebサイトに対して、すでに緑色の南京錠が表示されなくなっている。Sierraのリリースノートでは、できるだけ早くSHA-1の使用を中止することを推奨しているが、詳細については記載されていない。
SHA-1のサポート廃止に対するカウントダウンはすでに始まっているが、セキュリティ会社Venafiの研究者によると、1100万の公開されているWebサイトのうち35%がまだSHA-1証明書を使用しているという。
私たちの分析の結果から、非常に人気のあるWebサイトはSHA-1証明書をやめて移行していますが、インターネットの大部分はまだSHA-1証明書に依存していることがわかります。Netcraftの2016年9月のWebサーバー調査によると、アクティブなWebサイトは1億7300万以上存在します。私たちの結果から推測すると、6100万のウェブサイトがこうした(SHA-1)証明書を使用している可能性があります。
SHA-1暗号アルゴリズムは11年前に脆弱だとわかったが、最近のGPUの進歩によって近い将来に実現する衝突攻撃のために、これまで考えられてきた以上に安全性が低いことがわかっている。
SHA-1のサポートを徐々に廃止するという決定は、もともと2014年末にGoogleによって発表された。Mozillaはすぐそれに続き、そのあとMicrosoftも加わった。SHA-1をリタイアさせるためのアグレッシブなロードマップは、新しいアルゴリズムをサポートしていない多くの古いデバイスが大部分のWebにアクセスできなくなることを懸念して、2015年半ばの時点で先延ばしにされていた。
すべてのWebサイト運営者は、自分のサイトがSHA-1ベースの証明書を使用しているかどうか、簡単にチェックできる。
Rate this Article
- Editor Review
- Chief Editor Action