SSL証明書 SHA-1の廃止とSHA-2の移行について

Contents

1 SHA-1証明書の移行が進んでいます。
2 SHA-1について
3 使用中の証明書のハッシュ関数の調べ方
- 3.1 GMOグローバルサイン SSLチェックツール
- 3.2 Symantec SSL Toolbox
4 SHA-2が利用可能なOS、サーバ、ブラウザ
5 その他
- 5.1

SHA-1証明書の移行が進んでいます。

SHA-1のSSLサーバー証明書からSHA-2への移行が始まりつつ、SSL証明書発行会社も2015年12月末でSHA-1の発行を打ち切り、2016年12月末でブラウザやツールの対応が終了となってきています。
SSL証明書を複数年契約で2017年以降まで残っている場合、SSL通信ができなくなる場合があります。
ネットバンキングや携帯キャリアなどのSSLを見てみましたが現在はSHA-1対応が大半で、SSL証明書発行会社のサイトはSHA-2も対応されているようでした。
Google Chromeは、2014年11月から徐々にアドレスバーの表示が変わり、黄色い三角マークで「警告」のような表示がされSHA-1とSHA-2が視覚的にわかるように変わってきます。
直ぐにではありませんが、徐々に意識していった方が良いかもしれないです。

SHA-1について

SHA-1はwebサイトなどで使用するSSL証明書のハッシュ関数の種類で、ハッシュのビット数が少なく理論的な脆弱性考えられるため次のハッシュ関数SHA2などへの移行が進められています

使用中の証明書のハッシュ関数の調べ方

SSL証明書がSHA-1かSHA2かは、シマンテックやグローバルサインなどのSSL証明書を発行サイトのSSL証明書チェックツールを使って確認することができます。
チェックツール上の見方は下記となります。

GMOグローバルサイン SSLチェックツール

sslcheck.globalsign.com/ja

使い方は簡単でURLを入力して「スキャン」をクリックしてしばらく待つと結果が表示されます。
チェックが終わったら「グレード」が「B」や「A-」などと表示されるのでグレードアイコンをクリックします。
下にスクロールするといくつか項目がありますがその中から「証明書の詳細」を開きます。
「署名」部分にSHA-1と表示されていればSHA-1を使用していることになり、SHA256withRSAと表示された場合はSHA2ということになります。

Symantec SSL Toolbox

ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

こちらも同様にURLを入力して「Check」をクリックしてしばらくすると結果が表示されます。

結果の下の方に「Algorithm type」部分に表示され、SHA-1と表示されていればSHA-1を使用していることになり、SHA256withRSAと表示された場合はSHA2ということになります。

SHA-2が利用可能なOS、サーバ、ブラウザ

SHA-2を使用するにはサーポートしているサーバ、ブラウザが必要になります。

■サーバ、OS
Apache server 2.0.63
※OpenSSL0.9.8*以降が必要

Windows Server
Windows Server 2008, 2008 R2, 2012, 2012 R2
Windows Server 2003 SP1, SP2 Hotfix KB 938397 対応版
SHA-256 のみ対応

Windows
Windows XP SP3
Windows Vista
Windows 7
Windows 8
※SHA-256 のみ対応

ブラウザ
Internet Explorer 7以降で Windows XP SP3以降
Safari with Mac OS X 10.5以降
Firefox 1.5以降
Netscape 7.1以降
Mozilla 1.4以降
Opera 9.0以降
Konqueror 3.5.6以降
Mozilla-based browsers since 3.8以降
OpenSSL 0.9.8*以降
Java 1.4.2以降によるブラウザ
Chrome 26以降

その他

SHA2環境の対応もほとんどできていますが、フィーチャーフォンはSHA-1のみ対応の端末もあり、ユーザの環境がSHA-2に対応していないこともあります。
SSL証明書発行会社では30日ほど利用できるテスト用の証明書発行やSHA-2用の無償再発行を行っているところが多いので、これらも利用してSHA-2への移行を行いましょう。

各社のSHA-1に関する方針、SHA-2への移行については下記から確認することができます。

■サイーバトラスト　SHA-1証明書に関する指針について
www.cybertrust.ne.jp/ssl/sureserver/sha1ms.html

CSR作成/証明書インストール手順書
www.cybertrust.ne.jp/ssl/support/tec_download.html#01

■シマンテック　ハッシュアルゴリズムのSHA-1からSHA-2への移行に関して
www.symantec.com/ja/jp/page.jsp?id=ssl-sha2-transition

■グローバルサイン　SHA-2電子証明書への移行について
jp.globalsign.com/information/important/detail.php?no=1393982560

[マネージドPKI] クライアント認証 Apacheの設定方法（SHA256証明書）
jp.globalsign.com/support/epki/542.html

(Visited 3,464 times, 1 visits today)