treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

SSL証明書のSHA-1廃止

昨日ちょうど、SSL証明書の話題をしましたので、ちょっとしたSSL証明書の話題を続けます。
今日はSHA-1とSHA-2についてご報告します。
SHA-1とSHA-2の違いはセキュリティの強度の違い、ぐらいの認識で大丈夫です。

昨日<SSL証明書安くなったな、と言う話 - treedown’s Report>

現状で各社のSSL証明書においてSHA-1が提供廃止される流れが昨年から続いています。かくいう当方でも契約更新となる昨年秋にSHA-1からSHA-2にSSL証明書が更新されているのを作業上見かけました。

世の中のブラウザ対応

SSL証明書と言えばhttpsです。
httpsと言えばブラウザですね。
各有名ブラウザではSHA-1強度の証明書はもはやセキュリティホール並みの扱いで、ブラウザにSHA-1が使われていることを警告表示する、などという計画で実装を進めているようです。

ブラウザの対応予定がどうなっているかと言いますと…

ブラウザ別に書いてみようかと思っていたんですが、Chrome、Firefox、Internet Explorer(EDGE?)、と三大ブラウザはどれも
「2016年7月1日以降で警告表示を実装予定」
ということらしいのです。
つまりSHA-1のSSL証明書を利用しているサイトは近いうちにエラーやセキュリティインシデント扱いでアクセスが推奨されなくなる、ということになります。
※あくまでもブラウザに「SHA-1という脆弱な証明書を使っているからアクセスしない方がいいよ」的なメッセージが表示されるだけで、アクセスできなくなる、というわけではないようです。

この辺りの対処時期については2017年1月1日以降、という目安時期が大々的に言われていたんが、前倒しになって、2016年7月1日以降順次適用ということになっているようです。
2016年7月1日、と言えばちょうど昨日です。
つまり、SHA-1がセキュリティ上の問題として一般のブラウザユーザに告知される機能が実装される時期が到来した、ということです。

まさかSHA-1を使っている方はいらっしゃらないと思いますが、ちょっとご自身のSSL証明書をこの機会に一回見てみてもいいかもしれませんね。SHA-1だったら「このWebサイトは安全じゃありませんぜ!」ってブラウザに言われてしまうので、ご自身のサイトが知らないうちに危ないサイト扱いを受けてしまうかもしれません。

その他のSHA-1

SHA-1からSHA-2への移行という世の中の流れで、実はWebサイトのSSL証明書以上に気になっているのはどちらかというと、別のところにあります。

続きは明日。