BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Google、Microsoft、Mozillaがサイト運営者にSHA-1証明書の置き換えを促す

Google、Microsoft、Mozillaがサイト運営者にSHA-1証明書の置き換えを促す

ブックマーク

原文(投稿日:2016/11/20)へのリンク

昨年発表されたSHA-1の廃止計画に従って、Google、Microsoft、Mozillaは、SHA-1証明書のサポートを主力ブラウザから削除するためのスケジュールを説明している。

Chrome

2017年1月の終わりにstableチャンネルにリリース予定のChrome 56は、パブリックCAから発行されたSHA-1証明書すべてを信頼するのをやめて、警告を出すようになる。EnableSha1ForLocalAnchorsポリシーを使用した場合、引き続き、企業内で使われるような非公開のPKIに対するSHA-1サポートを提供する。これはOSが提供するSHA-1サポートに依存している。

Firefox

現在は開発者向けで、2017年1月にリリース予定のFirefox 51で、SHA-1証明書を信頼するのをやめる。実使用に与える影響を評価するために、Mozillaは2016年11月の初め、ベータユーザーの一部でSHA-1非推奨のベータテストを開始した。手動でインストールされた証明書は、デフォルトで機能する。

Edge

Microsoft EdgeとInternet Explorer 11は、2017年2月14日からSHA-1証明書を使ったWebサイトのロードをやめる。ユーザーには、無効な証明書の警告を無視してWebサイトにアクセスするオプションが提供される。ここでも、手動でインストールしたSHA-1証明書や自己署名したSHA-1証明書は、影響を受けない。

Safari

SafariのメーカーであるAppleも、SHA-1や3DESなど安全でないとみなされるアルゴリズムを廃止し始めている。これはmacOS最新バージョンのSierraに現れており、SHA-1で署名された証明書を提示しているWebサイトに対して、すでに緑色の南京錠が表示されなくなっているSierraのリリースノートでは、できるだけ早くSHA-1の使用を中止することを推奨しているが、詳細については記載されていない。

SHA-1のサポート廃止に対するカウントダウンはすでに始まっているが、セキュリティ会社Venafiの研究者によると、1100万の公開されているWebサイトのうち35%がまだSHA-1証明書を使用しているという。

私たちの分析の結果から、非常に人気のあるWebサイトはSHA-1証明書をやめて移行していますが、インターネットの大部分はまだSHA-1証明書に依存していることがわかります。Netcraftの2016年9月のWebサーバー調査によると、アクティブなWebサイトは1億7300万以上存在します。私たちの結果から推測すると、6100万のウェブサイトがこうした(SHA-1)証明書を使用している可能性があります。

SHA-1暗号アルゴリズムは11年前に脆弱だとわかったが、最近のGPUの進歩によって近い将来に実現する衝突攻撃のために、これまで考えられてきた以上に安全性が低いことがわかっている

SHA-1のサポートを徐々に廃止するという決定は、もともと2014年末にGoogleによって発表されたMozillaはすぐそれに続き、そのあとMicrosoftも加わった。SHA-1をリタイアさせるためのアグレッシブなロードマップは、新しいアルゴリズムをサポートしていない多くの古いデバイスが大部分のWebにアクセスできなくなることを懸念して、2015年半ばの時点で先延ばしにされていた

すべてのWebサイト運営者は、自分のサイトがSHA-1ベースの証明書を使用しているかどうか、簡単にチェックできる。

/

Rate this Article

Relevance
Style

この記事に星をつける

おすすめ度
スタイル

BT