NEWS
5.222015
「SHA-1証明書」から「SHA-2証明書」への移行について
証明書の電子署名に使用されてきたSHA-1ハッシュアルゴリズムの危殆化により、SHA-2ハッシュアルゴリズムへの移行が進められています。
遅くとも2017年1月1日以降、SHA-1証明書を使用したWEBサイトはSSLでのアクセスが難しくなります。
現在、SSL-SECURE.jpで発行(新規、更新ともに)するSSLサーバ証明書は、すでに、すべての製品において、SHA-2(SHA-256)ハッシュアルゴリズムを使用した証明書となっております。
SHA-2証明書の発行手続きは、これまでと全く同じです。特にSHA-2を指定する必要もありません。SHA-1と同様の手順でCSRを作成し、同様の手順でお申し込みください。
SHA-1からSHA-2への移行の経緯について
2005年、SHA-1への攻撃方法が相次いで発表されました。そのことから代替となるSHA-2への移行が叫ばれていましたが、数年が経過してもSHA-2証明書の普及は進みませんでした。
そこで、Internet Explorerを開発するマイクロソフトは、SHA-2への早急な移行を促すため、2013年にSHA-1 ハッシュアルゴリズムの廃止を発表しました。さらに2014年、グーグル社がGoogle ChromeでSHA-1証明書を使用したWEBサイトへのSSLアクセス時に警告表示をする計画を発表、これを機にSHA-1からSHA-2への移行が急速に進められることになりました。
SHA-2証明書への移行は、遅くとも2017年1月1日より前に完了することが求められています。各認証局では、2015年末でSHA-1証明書の発行停止を予定しています。
また、有効期限が2017年1月1日を超えるSHA-1証明書の発行はすでに行われていません。
SHA-2証明書のブラウザ、サーバ対応状況について
シマンテック社 SHA-2各種プラットフォーム対応状況をご覧ください。
シマンテック社(ジオトラスト、旧ベリサイン)の証明書に関しての対応状況になりますが、COMODO社も同様の状況と考えられます。
発行済SHA-1証明書のSHA-2での再発行について
有効期限が2016年12月31日までの証明書は、SHA-1であっても引き続き利用できます。
※有効期限によっては、Google Chromeでは警告表示される可能性があります。「SHA-1証明書の各ブラウザの対応について」を参照して下さい。
発行済のSHA-1証明書は、SHA-2で再発行できます。お問い合わせください。
SHA-1証明書の発行について
SSL-SECURE.jpでは、どの証明書も、特に指定がなければ、自動的にSHA-2で発行いたします。
引き続きSHA-1証明書の発行を希望される場合は、その旨ご連絡ください。
ただし、SHA-1証明書の発行については、各認証局とブラウザ提供企業間の取り決めにより、いずれの証明書も以下の対応となります。
・ SHA-1証明書の発行期限 2015年12月31日まで
・ SHA-1証明書の有効期限 2016年12月31日まで
SHA-1証明書の各ブラウザの対応について
SHA-2への移行は、グーグル、マイクロソフト等のブラウザメーカーが積極的に推進しています。
Google Chrome (Chrome 41以降)
有効期限が2016年1月1日以降のSHA-1証明書について警告表示(黄色の三角マーク付き鍵アイコン)します。
さらに、有効期限が2017年1月1日のSHA-1証明書については、赤の×マークと取り消し線で警告されます。
Internet Explorer
2016年12月31日まで通常通り利用できます(警告表示もされません)が、2017年1月1日以降、SHA-1証明書を用いたSSLサイトヘのアクセスはできなくなります。
Firefox
有効期限が2017年1月1日以降のSHA-1証明書は注意表示されます。
2016年1日1日以降に発行されたSHA-1証明書は警告表示されます。
2017年1月1日以降、SHA-1証明書は警告表示されます。
参考
シマンテック社 ハッシュアルゴリズムのSHA-1からSHA-2への移行に関して
コモド社 SHA-1証明書に関する指針について
Google Online Security Blog: Gradually sunsetting SHA-1
マイクロソフト セキュリティ アドバイザリ 2880823