SHA-1証明書を用いたウェブサイト閲覧時の警告／エラーや表示についてフィッシング対策協議会が注意喚起

　SHA-1 SSL/TLSサーバー証明書に対するエラーや警告表示について、フィッシング対策協議会が注意を喚起している。

　ハッシュアルゴリズムにSHA-1を用いたSSL/TLSサーバー証明書を用いたウェブサイトは、業界団体CA/Browser Forumより表明された指針により、2017年より安全と見なされなくなった。

　これにより、Google Chrome、Firefox、Microsoft Edge、Internet Explorerの各ウェブブラウザーでこうしたウェブサイトを閲覧すると、以下のバージョンより警告やエラーが表示されるようになる。警告が表示されてもウェブサイトを表示することはできる。しかし、フィッシング対策協議会では、こうしたウェブサイトでIDやパスワード、個人情報を入力する場合には注意が必要としている。

　Google Chromeは、1月下旬にリリース予定のChrome 56で、SHA-1証明書を利用するウェブサイトの閲覧時に、「この接続ではプライバシーが保護されません」との警告メッセージを表示する。また、1月にリリース予定のFirefox 51では、「安全な接続ではありません」とのエラーを表示する。

　Microsoft EdgeとInternet Explorer 11では、米国時間の2月14日より、「このWebサイトのセキュリティ証明書には問題があります」との警告を表示する。

　なお、SSL/TLSサーバー証明書を発行しているサイバートラスト、GMOグローバルサイン、シマンテック、セコムトラストシステムズの各社では、SHA-2を用いた証明書への移行を推奨している。