WindowsでSHA-1廃止
SSL通信が使えなくなる!?
安全面から考えれば、SHA-2への移行は必須の事柄である。しかし、これまでSHA-1を原因としたクリティカルなインシデントが公表されていないこともあり、積極的に動こうとするユーザーが少なかったのは事実だ。
ところが、マイクロソフトが2013年11月に「ルート証明書プログラムでのSHA-1ハッシュアルゴリズムの廃止」を発表したことにより、対応が急務となりつつある。同社は、同社サービスでの SHA-1 SSLサーバ証明書の受け入れを2016年12月31日までとすることを発表した。
マイクロソフトが発表したSHA-1廃止のロードマップ(ロードマップの図版)
<マイクロソフト セキュリティ アドバイザリ 2880823:https://technet.microsoft.com/ja-jp/library/security/2880823.aspx >
「Windows Serverをはじめとしたマイクロソフト製品のユーザーは、この期日までにSSLサーバ証明書をSHA-2ベースのものに移行しなければなりません。移行しなかった場合、実際にアクセス状態がどのようになるのかは、まだ明らかにされていません。しかし、例えばSHA-1のSSLサーバ証明書を設定しているウェブサーバにInternet Explorerでアクセスすると、警告が表示されるなどが考えられます。このような環境では、SHA-1ベースのSSL証明書は実質的に利用できないと思ってよいでしょう。」(近藤氏)
ユーザーにとっては強制的な施行に映るかもしれないが、Windows Server 2003のサポート終了時期に重なることもあり、システムを総合的に見直すチャンスと考えてはいかがだろうか。近藤氏も「より安全性の高いSHA-2への移行は望ましいこと」と捉えている。
対応すべき範囲は広い
情報収集やテストを入念に行おう
移行の際に必ず考慮しなければならないことは、暗号化通信を行うデバイス、サーバ、ソフトウェアのすべてが、SHA-2に対応しなければならないという点だ。
「特に注意しなければならないのは古い携帯電話、いわゆるフィーチャーフォンの対応状況です。SHA-2に対応する機器は少なく、また特性上、出荷後のシステムアップデートが困難であるためです」(近藤氏)
現在、スマートフォンのシェアが拡大しつつあるとは言え、国内ではまだ多くのユーザーがフィーチャーフォンを使っている。調査会社の発表によれば、2014年3月時点でも53%のシェアを持つという。自社のサービスがフィーチャーフォンユーザーもターゲットとするかどうか、自社のサービス自体がフィーチャーフォン向けであるユーザーは、大きな問題の1つである。
<参考:http://www.m2ri.jp/newsreleases/main.php?id=010120140423500 >
サーバ間でAPIを使って暗号化通信を行っているような場合も注意が必要だ。また、組み込み系システムの中にはソフトウェアアップデートが困難なものもあり、これらにも注意すべきであるという。
「企業内にはさまざまなシステムが散在しており、古いアプリケーションが残っているケースも多々あります。独自システムやオープンソースソフトウェアなどを使っている場合は特に、自らアップデートしなければなりません」(近藤氏)
GMOグローバルサインでは、有効期限内のサーバ証明書を保有しているユーザーであれば、SHA-1からSHA-256への再発行を無償で提供している。また新規ユーザーの場合は、同社が発行する証明書には無償でキャンセルできる期間が設けられているため、これを活用してテストすることも可能である。なお、ルート証明書は共通であるが中間CA証明書が異なるため、移行時には注意したい。
「当社では、SHA-2への移行の不安や疑問を解消すべく、サポート窓口で細かに説明する体制を整えています。 また、SHA-2に関するセミナーを頻繁に実施します。実は、2014年5月に第1回を開催したのですが、募集人数の倍以上の応募があり、想像以上の反響に驚きました。国内においては、欧米に比べてSHA-2への移行が遅れている状況ですが、多くのユーザーが懸念をお持ちであるようです」
同社では、Webサイトでも移行の必要性やポイントを解説しており、今後も各種のデータやコンテンツなどを拡充していく予定とのことだ。ぜひ参考にしていただきたい。
リミットは2016年末
SHA-2への移行は待ったなし!
WindowsにおけるSHA-1のサポート終了を切り替えポイントとすれば、2016年12月末までの期間がある。取材時では、のこり2年半ほどだ。しかし、この時間は決して長いとは言えない。
「Webブラウザやサーバ、携帯電話、アプリケーションなどの自社システムのほか、取引先のシステムやサービスのユーザー状況など、調査・対応すべき対象は多岐に渡ります。また、システムやサービスのインフラに関わる部分であるため、十分にテストしなければ、安定運用することは困難です。調査やテストにかかる時間は環境によって大きく異なりますが、場合によっては大きく時間を割く必要があるかもしれません」(近藤氏)
現状、マイクロソフトよりSHA-1証明書に関する利用制限が発表されている。今後、その他のサービスブラウザベンダーなどから同様の発表がある可能性は、大いにある。SHA-2へ移行しなければならない時期は、必ずやって来る。そのときに慌てることのないよう、早めの対策を行いたい。
今回協力していただいたGMOグローバルサイン株式会社