• お客さまサポート
  • お客さまへのお知らせ

SHA-1 証明書の受付終了( 2015年12月) および SHA-2 証明書への移行について

Microsoft 社および各ブラウザベンダが、SSL サーバ証明書の署名アルゴリズムを現行の SHA-1 からより安全性の高い SHA-2 に移行する旨を発表しました。このページでは上記ベンダを含む各社の対応指針・対応状況と、お客さまにおとりいただく対策についてご案内します。

SHA-1証明書に関する指針について

SHA-1 証明書に関するブラウザベンダの指針は以下のとおりです。

※ SHA-1の中間CA証明書も下記指針の対象です。
※ 2014年 9月時点の情報に基づく内容のため、今後変更される可能性があります。予めご了承ください。

各ベンダの SHA-1 証明書に対する指針スケジュール

Microsoft 社の指針

Microsoft 社は 2013年11月に発表した「Windows Root Certificate Program - Technical Requirements version 2.0」において、SHA-1 証明書に関する下記の指針を表明しました。

  • • 認証局は、2016年1月1日までに新しい SHA-1 SSL およびコード署名証明書の発行を停止しなければならない。
  • • Windowsは 2017年 1月 1日付で SHA-1 証明書での SSL 通信を拒否する。

影響

SSL のサーバ証明書を発行する認証局は上記指針に従い、2015年 12月 31日までに SHA-1証明書の発行を停止する必要があります。また、2017年1月 1日以降、SSL サーバー証明書の発行元に関わらず、 Windows 製品で SHA-1 証明書のSSL通信が拒否されます。

<セキュリティ警告表示例(予定)>

※選択肢がなく、次の画面に遷移できません。

<通常のセキュリティ警告表示例>

※選択肢があり、続行すると次の画面に遷移できます。

Google の指針

Googleは2014年9月に発表した「Gradually Sunsetting SHA-1」において、SHA-1 証明書が使用されているウェブサイトへのSSL接続において、今後リリース予定のChrome39 ~ 41で段階的にアドレスバーの表示を変化させることを表明しました。

影響

Chrome 39 (2014年11月リリース)

満了日が2017年 1月 1日以降の SHA-1 証明書

※ 黄色マーク付き鍵アイコンが表示されます。

Chrome 40 (2015年1月頃リリース予定)

満了日が 2016年 6月 1日 ~ 2016年 12月 31日の SHA-1 証明書

※ 黄色マーク付き鍵アイコンが表示されます。

満了日が 2017年 1月 1日以降のSHA-1証明書

※ 鍵アイコンが表示されません (HTTP アクセス時と同等の状態となります)。

Chrome 41 (2015年3月頃リリース予定)

満了日が 2016年 1月 1日から 2016年 5月 31日の SHA-1 証明書

※ 黄色マーク付き鍵アイコンが表示されます。

満了日が 2017年 1月 1日以降の SHA-1 証明書

※ 赤い×マーク付き鍵アイコンと "https://" 部分に取り消し線が表示されます。

Mozilla の指針

Mozilla は 2014年 9月に発表した「Phasing Out Certificates with SHA-1 based Signature Algorithms」において、SHA-1証明書の発行と利用の非推奨、およびSSL接続時の表示変更に関する以下の指針を表明しました。

影響

2015年初期にリリース予定の Firefox

満了日が 2017年 1月 1日以降の SHA-1 証明書

※ アドレスバーに HTTP/HTTPS の双方が混在しているコンテンツと同等の警告が表示されます。

2015年初期のリリース後に追加が計画されている動作

  • ・ 2016年 1月 1日以降、新たに発行された SHA-1証明書
  • ・ 満了日が 2017年 1月 1日以降におけるすべての SHA-1証明書

※「信頼されない接続」である旨のエラーが表示されます。

※ 2017年以降のある時点において、コンテンツを表示できない(エラーを無視できない)状況に変更する可能性があります。

ご利用中のサーバにおける対応

各ブラウザの警告表示を回避するために、適切な期限までに SSL 証明書を運用されているサーバにおいて、現在ご利用中の SHA-1 証明書から次世代の SHA-2 証明書に入れ替えていただく必要がございます。ご利用いただいているサーバの OS により、サーバ側の対応状況が異なります。以下に対応手順を記載しますので、ご確認ください。

RHEL 5以降をご利用中のお客さま (RHEL 5/6、CentOS 6)

SHA-2 証明書を取得し、対象サーバにインストールすることで対応可能です。
SHA-2 証明書へ切り替える際、各端末(フィーチャーフォン、PHS)やブラウザの対応状況が異なりますので注意が必要です。詳細は、「SHA-2 対応版 SSL 証明書 PC ブラウザ・モバイル・サーバ対応について(予定)」をご参照ください。

RHEL 4を含むレガシー OS をご利用中のお客さま(RHEL ES 3/4、またはそれ以前)

対象の OS (サーバ) はハッシュアルゴリズム SHA-2 に対応していないため、証明書をインストールすることができません。 SHA-1 証明書が使用可能な 2016年 12月末までに、SHA-2 に対応した現行 OS へサーバをリプレイスしたうえで、SHA-2 証明書をインストールする必要がございます。

注意

SHA-1 証明書を 2016年 12月末までお使いいただく場合、前述のとおり各ブラウザで警告が表示されます。

SHA-2 対応版 SSL 証明書 PC ブラウザ・モバイル・サーバ対応について (予定)

※ SSL 証明書認証局調べ

PC

OS ブラウザ SHA-2対応 備考
Microsoft Windows XP SP3 以降で対応 Internet Explorer IE ver.6以降
Google Chrome Chrome 1.0以降
Opera Opera 9.5以降
OS のバージョン問わず Internet Explorer IE ver.6以降
Mac OS X Safari Safari2.0以降
Mozilla Firefox Firefox 1.0.0以降

携帯電話 (フィーチャーフォン)

OS ブラウザ SHA-2対応 備考
携帯電話
(フィーチャーフォン)
標準搭載ブラウザ 約7割 アクセスシェアベース
→端末すべてに対する割合ではありません

スマートフォン

OS ブラウザ SHA-2対応 備考
Android 標準搭載ブラウザ
(Androidブラウザ)
Ver 1.5 以降
iOS 標準搭載ブラウザ
(Safari)
iPhone 3G 以降
Windows Phone 標準搭載ブラウザ
(IE Mobile)
Windows Phone 7 以降
Blackberry 標準搭載ブラウザ
(Blackberry ブラウザ)

サーバ

サーバ名 SHA-2対応 備考
Apache OpenSSL 0.9.8 以降
Windows Server IIS 6.0 以降
(IIS 6.0 の場合、KB938397/KB968730 の適用が必要)

注意

ロードバランサーに SSL 証明書をインストールしている場合は、対象機器が SHA-2 証明書に対応していることをご確認ください。

ページトップへ