「Edge」「IE」も「SHA-1」証明書の利用サイトをブロック

Liam Tung (CNET News) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2017-05-12 11:24

 Microsoftは米国時間5月9日に公開した月例パッチで、「SHA-1」アルゴリズムで暗号化されたHTTPS証明書を利用しているサイトの読み込みを防ぐ「Edge」および「Internet Explorer(IE)」向け新ポリシーも公開した。

 今回の動きにより、Microsoftのブラウザは、1月の安定版「Chrome 56」リリース時にSHA-1暗号化ハッシュ機能のサポートを打ち切ったChromeや、2月にSHA-1のサポートを廃止した「Firefox」と足並みを揃えることになる。

 新ポリシーは、SHA-2証明書に移行していないサイトに影響する。

 この数年間、ブラウザメーカーと認証局(CA)はSHA-1に対する不信感を募らせてきた。

 GoogleとCWI Amsterdamの研究者が、2月にSHA-1衝突を実現するテクニックを発表し、SHA-1ハッシュが同じでコンテンツが異なる2つのPDFファイルを使ったデモを行ったことで、SHA-1を廃止すべき根拠がさらに明らかになった。

 9日のアップデートがインストールされると、Microsoftのブラウザは、SHA-1証明書を使用しているサイトを読み込まず、サイトの証明書にセキュリティ上の問題があることを強調するエラーメッセージが表示される。

サイトの証明書にセキュリティ上の問題があることを強調するエラーメッセージ
サイトの証明書にセキュリティ上の問題があることを強調するエラーメッセージ
提供:Microsoft

 SHA-1証明書を段階的に廃止するMicrosoftの広範な計画は、やがて法人が使用している自己署名のSSL/TLS証明書にも適用される。

 この変更で影響を受けるのは、「End Entity証明書または中間証明機関の証明書が SHA-1を使用している、Microsoftの信頼されたルート証明書プログラムのルートにチェーンされたSHA-1証明書のみ」だという。

 Microsoftはセキュリティアドバイザリで、SHA-1を用いた自己署名のTSL証明書は影響を受けないと述べながらも、顧客にSHA-2ベースの証明書に「迅速に移行する」よう促している。

 「Windows 10 Creators Update」でも、ブラウザはSHA-1をデフォルトでブロックする。Microsoftは4月に、こうした変更について警告し、すぐにSHA-1をブロックするための管理者向け説明書を提供していた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]