編集部からのお知らせ
Topic 本人認証の重要性
宇宙ビジネスの記事まとめダウンロード
海外コメンタリー

「SHA-1」SSLサーバ証明書の廃止迫る--「SHA-2」への移行状況とその影響、課題 - (page 2)

Zack Whittaker (ZDNet.com) 翻訳校正: 村上雅章 野崎裕子

2015-11-05 06:30

 ほとんどのウェブサイトは既にSHA-2証明書を併用しているという安心材料もある。しかし、SSLを使用している14万3909の一般的なウェブサイトを対象にしたTrustworthy Internet Movementの調査ではおよそ24%がいまだにSHA-1を使用し続けており(下図参照)、その実数はNetcraftのPaul Mutton氏によると100万にもおよんでいるという。


 ただ、その数は毎月かなりの割合で減少しているため、2015年の終わりには全ウェブサイトの10%程度にまで低下するはずだ。これにより、暗号化されたウェブサイトの大半はSHA-1の衝突探索攻撃とは無縁になる。

 つまり、ほとんどの人々は何の心配もしなくて済むはずだ。大多数の人々は既に、最新のOSや最新のスマートフォン上で最新の「Chrome」や「Firefox」といったブラウザや最新のソフトウェアを使用している。これらの製品は、旧来のSHA-1を使用したウェブサイトとともに、最新のSHA-2を使用したウェブサイトとの互換性も有している。

 しかし、旧式のソフトウェアやデバイス、さらには「フィーチャーフォン」、すなわち基本的なモバイルインターネット機能を有したチョコレートバーのような形状の携帯電話を使用している人々(発展途上国ではこういった人々はまだ数多くいる)は、問題に遭遇するはずだ。これらの製品はSHA-2が世に出てくる前に作られているのだ。

100万ダウンロードを逃したMozillaの過ち

 実際にどれだけの人々に影響がおよぶのかは、ふたを開けてみなければ分からない。というのも、どれだけの人々が旧式の、あるいはサポートされていないブラウザやデバイスを使用しているのかという具体的な統計が存在していないためだ。

 クラウドセキュリティ企業QualysのSSL Labsで責任者を務めるIvan Ristic氏は電子メールで、「Windows XP SP2」以前と、「Android 2.2」以前ではSHA-2証明書がサポートされていないと記している。

 これに関するしっかりした数値は把握されていない。分かっていることは、サポートされていないシステムの数は世界的に見れば少ないとはいえ、中国アフリカインド、およびベトナムのような発展途上国ではいまだにパーセントにして2桁台、すなわち数千万人の人々によって使われているという事実だけだ。Microsoftが公開している「Internet Explorer(IE)6」の利用状況確認ページの数値を信じるのであれば、世界中のユーザーのうち1%は、サポートの終了したIE 6をいまだに使用し続けている。つまり、7000万人ものユーザーがSHA-2を用いた暗号化サイトから閉め出されるという危機に直面しているわけだ。

 Ristic氏は「多くのサイトにおけるSHA-2への移行率が75%となっている状況を見た場合、旧式のブラウザを使用しているユーザーが問題に遭遇するという話が2016年を通じて増えていくだろう」と述べた。

 Mozillaは、SHA-2への移行がらみで2014年に痛い目を見ている。Mozillaは当時、ウェブサイトのSSL証明書をSHA-2に切り替えようと試みた。しかしこの切り替えによって、SHA-2をサポートしていない旧式のブラウザやOSを使用しているユーザーがウェブサイトにアクセスできなくなるという事態を招いてしまったのだ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]