Microsoftは米国時間5月9日に公開した月例パッチで、「SHA-1」アルゴリズムで暗号化されたHTTPS証明書を利用しているサイトの読み込みを防ぐ「Edge」および「Internet Explorer(IE)」向け新ポリシーも公開した。
今回の動きにより、Microsoftのブラウザは、1月の安定版「Chrome 56」リリース時にSHA-1暗号化ハッシュ機能のサポートを打ち切ったChromeや、2月にSHA-1のサポートを廃止した「Firefox」と足並みを揃えることになる。
新ポリシーは、SHA-2証明書に移行していないサイトに影響する。
この数年間、ブラウザメーカーと認証局(CA)はSHA-1に対する不信感を募らせてきた。
GoogleとCWI Amsterdamの研究者が、2月にSHA-1衝突を実現するテクニックを発表し、SHA-1ハッシュが同じでコンテンツが異なる2つのPDFファイルを使ったデモを行ったことで、SHA-1を廃止すべき根拠がさらに明らかになった。
9日のアップデートがインストールされると、Microsoftのブラウザは、SHA-1証明書を使用しているサイトを読み込まず、サイトの証明書にセキュリティ上の問題があることを強調するエラーメッセージが表示される。
サイトの証明書にセキュリティ上の問題があることを強調するエラーメッセージ
提供:Microsoft
SHA-1証明書を段階的に廃止するMicrosoftの広範な計画は、やがて法人が使用している自己署名のSSL/TLS証明書にも適用される。
この変更で影響を受けるのは、「End Entity証明書または中間証明機関の証明書が SHA-1を使用している、Microsoftの信頼されたルート証明書プログラムのルートにチェーンされたSHA-1証明書のみ」だという。
Microsoftはセキュリティアドバイザリで、SHA-1を用いた自己署名のTSL証明書は影響を受けないと述べながらも、顧客にSHA-2ベースの証明書に「迅速に移行する」よう促している。
「Windows 10 Creators Update」でも、ブラウザはSHA-1をデフォルトでブロックする。Microsoftは4月に、こうした変更について警告し、すぐにSHA-1をブロックするための管理者向け説明書を提供していた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。