MozillaのChris More氏はバグデータベースのコメント欄で、このウェブサイト更新によって「100万回のダウンロード機会を逸した」と記している。そして、「世界の数多くの地域ではいまだに旧式のブラウザが使われており、Firefoxを入手するためにわれわれのウェブサイトにアクセスしている」と続けている。
今回、これと同様のことが起こらないとは限らない。
「安全性を確認できない接続」
2016年1月1日以降、SHA-1証明書は更新/発行されなくなる。つまり、ウェブサイトの管理者やアプリ開発者は2016年中にSHA-2に移行する必要がある。
そして1年後の2017年からは、ChromeやFirefoxを使って旧来のSHA-1証明書を使用するウェブサイトにアクセスすると、その接続は信頼できない旨のセキュリティ警告が表示されるようになる。またFirefoxなど一部のブラウザでは、2016年中に警告が表示されるケースが出てくるかもしれない。
Mozillaは、SHA-1に対する攻撃の成功が報告された場合、警告表示の開始を2016年7月に前倒しする可能性もあると述べている。
セキュリティが重要になるとともに、ウェブサイトでの暗号化の採用が一般的になってきている。しかし、すべてが新たなブラウザへのアップグレードのように簡単な話になるとは限らない。携帯電話やコンピュータといったハードウェアのアップグレードが必要となることも多いが、金銭的な事情で、あるいは貿易制限によって簡単に対応できないというケースも数多く出てくるだろう。
Prince氏は「すべての人々が最新のセキュリティにアップグレードできるよう努力している。そのこと自体に何の問題もないが、それを実現するうえで過去のしがらみもサポートする必要がある」と述べた。
SHA-1に対する攻撃手順が、あと数日から数週間で確立され、偽物のウェブサイトやサービスが登場する恐れもあるため、より優れた暗号にアップグレードするというニーズはかつてなかったほど重要性が高まっている。
Prince氏は、業界が「最高かつ最強のセキュリティ」を要求しているものの、「そのプロセスにおいてわれわれはすべてのものを破壊した」と述べた。
同氏は「意図が大きく裏目に出ることもある」と述べ「それが恐ろしいところだ」と続けた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
