SHA-1 証明書の受付終了( 2015年12月) および SHA-2 証明書への移行について
Microsoft 社および各ブラウザベンダが、SSL サーバ証明書の署名アルゴリズムを現行の SHA-1 からより安全性の高い SHA-2 に移行する旨を発表しました。このページでは上記ベンダを含む各社の対応指針・対応状況と、お客さまにおとりいただく対策についてご案内します。
SHA-1証明書に関する指針について
SHA-1 証明書に関するブラウザベンダの指針は以下のとおりです。
※ SHA-1の中間CA証明書も下記指針の対象です。
※ 2014年 9月時点の情報に基づく内容のため、今後変更される可能性があります。予めご了承ください。
各ベンダの SHA-1 証明書に対する指針スケジュール
Microsoft 社の指針
Microsoft 社は 2013年11月に発表した「Windows Root Certificate Program - Technical Requirements version 2.0」において、SHA-1 証明書に関する下記の指針を表明しました。
- • 認証局は、2016年1月1日までに新しい SHA-1 SSL およびコード署名証明書の発行を停止しなければならない。
- • Windowsは 2017年 1月 1日付で SHA-1 証明書での SSL 通信を拒否する。
影響
SSL のサーバ証明書を発行する認証局は上記指針に従い、2015年 12月 31日までに SHA-1証明書の発行を停止する必要があります。また、2017年1月 1日以降、SSL サーバー証明書の発行元に関わらず、 Windows 製品で SHA-1 証明書のSSL通信が拒否されます。
<セキュリティ警告表示例(予定)>
※選択肢がなく、次の画面に遷移できません。
<通常のセキュリティ警告表示例>
※選択肢があり、続行すると次の画面に遷移できます。
Google の指針
Googleは2014年9月に発表した「Gradually Sunsetting SHA-1」において、SHA-1 証明書が使用されているウェブサイトへのSSL接続において、今後リリース予定のChrome39 ~ 41で段階的にアドレスバーの表示を変化させることを表明しました。
影響
Chrome 39 (2014年11月リリース)
満了日が2017年 1月 1日以降の SHA-1 証明書
※ 黄色マーク付き鍵アイコンが表示されます。
Chrome 40 (2015年1月頃リリース予定)
満了日が 2016年 6月 1日 ~ 2016年 12月 31日の SHA-1 証明書
※ 黄色マーク付き鍵アイコンが表示されます。
満了日が 2017年 1月 1日以降のSHA-1証明書
※ 鍵アイコンが表示されません (HTTP アクセス時と同等の状態となります)。
Chrome 41 (2015年3月頃リリース予定)
満了日が 2016年 1月 1日から 2016年 5月 31日の SHA-1 証明書
※ 黄色マーク付き鍵アイコンが表示されます。
満了日が 2017年 1月 1日以降の SHA-1 証明書
※ 赤い×マーク付き鍵アイコンと "https://" 部分に取り消し線が表示されます。
Mozilla の指針
Mozilla は 2014年 9月に発表した「Phasing Out Certificates with SHA-1 based Signature Algorithms」において、SHA-1証明書の発行と利用の非推奨、およびSSL接続時の表示変更に関する以下の指針を表明しました。
影響
2015年初期にリリース予定の Firefox
満了日が 2017年 1月 1日以降の SHA-1 証明書
※ アドレスバーに HTTP/HTTPS の双方が混在しているコンテンツと同等の警告が表示されます。
2015年初期のリリース後に追加が計画されている動作
- ・ 2016年 1月 1日以降、新たに発行された SHA-1証明書
- ・ 満了日が 2017年 1月 1日以降におけるすべての SHA-1証明書
※「信頼されない接続」である旨のエラーが表示されます。
※ 2017年以降のある時点において、コンテンツを表示できない(エラーを無視できない)状況に変更する可能性があります。
ご利用中のサーバにおける対応
各ブラウザの警告表示を回避するために、適切な期限までに SSL 証明書を運用されているサーバにおいて、現在ご利用中の SHA-1 証明書から次世代の SHA-2 証明書に入れ替えていただく必要がございます。ご利用いただいているサーバの OS により、サーバ側の対応状況が異なります。以下に対応手順を記載しますので、ご確認ください。
RHEL 5以降をご利用中のお客さま (RHEL 5/6、CentOS 6)
SHA-2 証明書を取得し、対象サーバにインストールすることで対応可能です。
SHA-2 証明書へ切り替える際、各端末(フィーチャーフォン、PHS)やブラウザの対応状況が異なりますので注意が必要です。詳細は、「SHA-2 対応版 SSL 証明書 PC ブラウザ・モバイル・サーバ対応について(予定)」をご参照ください。
RHEL 4を含むレガシー OS をご利用中のお客さま(RHEL ES 3/4、またはそれ以前)
対象の OS (サーバ) はハッシュアルゴリズム SHA-2 に対応していないため、証明書をインストールすることができません。 SHA-1 証明書が使用可能な 2016年 12月末までに、SHA-2 に対応した現行 OS へサーバをリプレイスしたうえで、SHA-2 証明書をインストールする必要がございます。
注意
SHA-1 証明書を 2016年 12月末までお使いいただく場合、前述のとおり各ブラウザで警告が表示されます。
SHA-2 対応版 SSL 証明書 PC ブラウザ・モバイル・サーバ対応について (予定)
※ SSL 証明書認証局調べ
PC
OS | ブラウザ | SHA-2対応 | 備考 | |
---|---|---|---|---|
Microsoft Windows | XP SP3 以降で対応 | Internet Explorer | ○ | IE ver.6以降 |
Google Chrome | ○ | Chrome 1.0以降 | ||
Opera | ○ | Opera 9.5以降 | ||
OS のバージョン問わず | Internet Explorer | ○ | IE ver.6以降 | |
Mac OS X | Safari | ○ | Safari2.0以降 | |
Mozilla Firefox | ○ | Firefox 1.0.0以降 |
携帯電話 (フィーチャーフォン)
OS | ブラウザ | SHA-2対応 | 備考 |
---|---|---|---|
携帯電話 (フィーチャーフォン) |
標準搭載ブラウザ | 約7割 | アクセスシェアベース →端末すべてに対する割合ではありません |
スマートフォン
OS | ブラウザ | SHA-2対応 | 備考 |
---|---|---|---|
Android | 標準搭載ブラウザ (Androidブラウザ) |
○ | Ver 1.5 以降 |
iOS | 標準搭載ブラウザ (Safari) |
○ | iPhone 3G 以降 |
Windows Phone | 標準搭載ブラウザ (IE Mobile) |
○ | Windows Phone 7 以降 |
Blackberry | 標準搭載ブラウザ (Blackberry ブラウザ) |
○ |
サーバ
サーバ名 | SHA-2対応 | 備考 |
---|---|---|
Apache | ○ | OpenSSL 0.9.8 以降 |
Windows Server | ○ | IIS 6.0 以降 (IIS 6.0 の場合、KB938397/KB968730 の適用が必要) |
注意
ロードバランサーに SSL 証明書をインストールしている場合は、対象機器が SHA-2 証明書に対応していることをご確認ください。