ニュース
SHA-1証明書を用いたウェブサイト閲覧時の警告/エラーや表示についてフィッシング対策協議会が注意喚起
2017年1月6日 12:35
SHA-1 SSL/TLSサーバー証明書に対するエラーや警告表示について、フィッシング対策協議会が注意を喚起している。
ハッシュアルゴリズムにSHA-1を用いたSSL/TLSサーバー証明書を用いたウェブサイトは、業界団体CA/Browser Forumより表明された指針により、2017年より安全と見なされなくなった。
これにより、Google Chrome、Firefox、Microsoft Edge、Internet Explorerの各ウェブブラウザーでこうしたウェブサイトを閲覧すると、以下のバージョンより警告やエラーが表示されるようになる。警告が表示されてもウェブサイトを表示することはできる。しかし、フィッシング対策協議会では、こうしたウェブサイトでIDやパスワード、個人情報を入力する場合には注意が必要としている。
Google Chromeは、1月下旬にリリース予定のChrome 56で、SHA-1証明書を利用するウェブサイトの閲覧時に、「この接続ではプライバシーが保護されません」との警告メッセージを表示する。また、1月にリリース予定のFirefox 51では、「安全な接続ではありません」とのエラーを表示する。
Microsoft EdgeとInternet Explorer 11では、米国時間の2月14日より、「このWebサイトのセキュリティ証明書には問題があります」との警告を表示する。
なお、SSL/TLSサーバー証明書を発行しているサイバートラスト、GMOグローバルサイン、シマンテック、セコムトラストシステムズの各社では、SHA-2を用いた証明書への移行を推奨している。