ニュース

Microsoft EdgeとIE 11、SHA-1証明書を用いたウェブサイトで2017年2月14日より警告を表示

2017年1月提供予定のChrome 56やFirefox 51でも同様に

 Microsoft EdgeとInternet Explorer 11において2017年2月14日以降、SHA-1を使ったSSL/TLS証明書を用いたウェブサイトを表示した際、証明書が無効の警告を表示することを、米Microsoftが改めて告知した。GoogleやMozillaでも、ChromeやFirefoxにおいて、2017年1月までに同様に警告画面を表示する変更を行う。

 Windows 10 Anniversary Update以降のEdgeとIE 11では、SHA-1によるSSL/TLS証明書を用いたウェブサイトで、アドレスバーの鍵アイコンが非表示となり、安全とは見なされなくなっていた。

 Microsoftでは、SHA-1のハッシュアルゴリズムについて、中間者攻撃が実行される可能性があるほか、コンテンツのなりすましやフィッシング攻撃などの危険性があるとして、「すでに安全なものではない」としており、ハッキング手口の巧妙化などにより、証明書が偽造される危険性も高まっている。

 SHA-1を使ったSSL/TLS証明書が自分のウェブサイトで使われているかどうかは、2016年11月提供のWindows Updateにより、管理者としてコマンドプロンプトを起動してコマンドを実行することで、テストすることが可能になるという。

 Googleでは、安定版が2017年1月末提供予定の「Chrome 56」から、SHA-1を使ったSSL/TLS証明書のサポートを打ち切ることを11月16日に発表している。SHA-1証明書を使ったウェブサイトを表示すると警告を表示するという。

 同様に、2017年1月リリース予定の「Firefox 51」でも、SHA-1を使ったSSL/TLS証明書のサポートが打ち切られる。Firefoxによる測定では、2016年5以降、SHA-1が使用されたウェブサイトの割合は3.5%から0.8%に低下しているという。

 SHA-1を使ったSSL/TLS証明書に関する各社ウェブブラウザーの対応については、シマンテックやサイバートラストでも、ウェブサイトに情報を掲載している。

 国内では、ヤフー株式会社が10月から12月にかけ、SSL化している各種サービスにおいて、証明書のSHA-1からSHA-2への変更を進めている。SHA-1による証明書はこれまでフィーチャーフォンなどで広く使用されてきたが、SHA-2に対応するフィーチャーフォンは限られ、ヤフーではスマートフォンへの移行を推奨している。

 JR東日本が提供している「モバイルSuica」でも、8月24日よりSHA-2とTLS 1.0に対応しないフィーチャーフォンでは利用ができなくなっている。