[:ja]SSL証明書 SHA-1の廃止とSHA-2の移行について[:en]For SSL certificate SHA-1 of abolition and the SHA-2 migration[:]
[:ja]
Contents
SHA-1証明書の移行が進んでいます。
SHA-1のSSLサーバー証明書からSHA-2への移行が始まりつつ、SSL証明書発行会社も2015年12月末でSHA-1の発行を打ち切り、2016年12月末でブラウザやツールの対応が終了となってきています。
SSL証明書を複数年契約で2017年以降まで残っている場合、SSL通信ができなくなる場合があります。
ネットバンキングや携帯キャリアなどのSSLを見てみましたが現在はSHA-1対応が大半で、SSL証明書発行会社のサイトはSHA-2も対応されているようでした。
Google Chromeは、2014年11月から徐々にアドレスバーの表示が変わり、黄色い三角マークで「警告」のような表示がされSHA-1とSHA-2が視覚的にわかるように変わってきます。
直ぐにではありませんが、徐々に意識していった方が良いかもしれないです。
SHA-1について
SHA-1はwebサイトなどで使用するSSL証明書のハッシュ関数の種類で、ハッシュのビット数が少なく理論的な脆弱性考えられるため次のハッシュ関数SHA2などへの移行が進められています
使用中の証明書のハッシュ関数の調べ方
SSL証明書がSHA-1かSHA2かは、シマンテックやグローバルサインなどのSSL証明書を発行サイトのSSL証明書チェックツールを使って確認することができます。
チェックツール上の見方は下記となります。
GMOグローバルサイン SSLチェックツール
sslcheck.globalsign.com/ja
使い方は簡単でURLを入力して「スキャン」をクリックしてしばらく待つと結果が表示されます。
チェックが終わったら「グレード」が「B」や「A-」などと表示されるのでグレードアイコンをクリックします。
下にスクロールするといくつか項目がありますがその中から「証明書の詳細」を開きます。
「署名」部分にSHA-1と表示されていればSHA-1を使用していることになり、SHA256withRSAと表示された場合はSHA2ということになります。
Symantec SSL Toolbox
ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
こちらも同様にURLを入力して「Check」をクリックしてしばらくすると結果が表示されます。
結果の下の方に「Algorithm type」部分に表示され、SHA-1と表示されていればSHA-1を使用していることになり、SHA256withRSAと表示された場合はSHA2ということになります。
SHA-2が利用可能なOS、サーバ、ブラウザ
SHA-2を使用するにはサーポートしているサーバ、ブラウザが必要になります。
■サーバ、OS
Apache server 2.0.63
※OpenSSL0.9.8*以降が必要
Windows Server
Windows Server 2008, 2008 R2, 2012, 2012 R2
Windows Server 2003 SP1, SP2 Hotfix KB 938397 対応版
SHA-256 のみ対応
Windows
Windows XP SP3
Windows Vista
Windows 7
Windows 8
※SHA-256 のみ対応
ブラウザ
Internet Explorer 7以降で Windows XP SP3以降
Safari with Mac OS X 10.5以降
Firefox 1.5以降
Netscape 7.1以降
Mozilla 1.4以降
Opera 9.0以降
Konqueror 3.5.6以降
Mozilla-based browsers since 3.8以降
OpenSSL 0.9.8*以降
Java 1.4.2以降によるブラウザ
Chrome 26以降
その他
SHA2環境の対応もほとんどできていますが、フィーチャーフォンはSHA-1のみ対応の端末もあり、ユーザの環境がSHA-2に対応していないこともあります。
SSL証明書発行会社では30日ほど利用できるテスト用の証明書発行やSHA-2用の無償再発行を行っているところが多いので、これらも利用してSHA-2への移行を行いましょう。
各社のSHA-1に関する方針、SHA-2への移行については下記から確認することができます。
■サイーバトラスト SHA-1証明書に関する指針について
www.cybertrust.ne.jp/ssl/sureserver/sha1ms.html
CSR作成/証明書インストール手順書
www.cybertrust.ne.jp/ssl/support/tec_download.html#01
■シマンテック ハッシュアルゴリズムのSHA-1からSHA-2への移行に関して
www.symantec.com/ja/jp/page.jsp?id=ssl-sha2-transition
■グローバルサイン SHA-2電子証明書への移行について
jp.globalsign.com/information/important/detail.php?no=1393982560
[マネージドPKI] クライアント認証 Apacheの設定方法(SHA256証明書)
jp.globalsign.com/support/epki/542.html
[:en]
SSHA – 1 transition of the certificate is advancing .
While beginning the transition to SHA-2 from the SSL server certificate of SHA-1 , SSL certificate issuing company also censored the issue of SHA-1 in 2015 the end of December , the corresponding termination of the browser and tools in 2016 the end of December It has become a .
If you are left until after 2017 the SSL certificate in the multi-year contract , you may not be able to have an SSL communication .
Currently I tried to look at the SSL such as Internet banking and mobile carriers in the SHA-1 correspondence majority , SSL certificate issuing company of the site seemed to have been also supports SHA-2.
Google Chrome is , changes gradually display the address bar from November 2014 , “warning” display is the SHA-1 and SHA-2 , such as you have changed to , as can be seen visually in a yellow triangle mark .
Not immediately , but it is better to gradually conscious might be good .
For SHA-1
SHA-1 is a kind of hash function of SSL certificate to be used, for example, web site , following the transition to such as a hash function SHA2 because the number of bits of hash is considered less theoretical vulnerability has been promoted .
Finding of the hash function of certificates in use
SSL certificate is either SHA-1 or SHA2 , you can be checked using an SSL certificate check tool of publishing sites the SSL certificate , such as Symantec and global sign .
Perspective on the check tool will be following .
GMO GlobalSign SSL Check Tool
sslcheck.globalsign.com/ja
How to use will be displayed for a while to wait and results by clicking the “scan” by entering a simple URL.
Since When the check is finished ” grade ” is displayed such as ” B ” and ” A- ” and click the grade icon .
There are a few items to scroll down but to open the ” details of the certificate ” from that .
Now using the SHA-1 if it is displayed as SHA-1 in the “Signature ” portion , if labeled SHA256withRSA will be referred SHA2 .
Symantec SSL Toolbox
ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
Here also by clicking the ” Check” to enter in the same manner as in URL After a few moments you will see a result .
At the bottom of the results is displayed in the ” Algorithm type ” moiety , if it is displayed as SHA-1 will be using the SHA-1 , if labeled SHA256withRSA will be referred SHA2 .
SHA-2 is available OS, server , browser
Server that is Sapoto To use the SHA-2, you will need a browser .
■Server,OS
Apache server 2.0.63
※OpenSSL0.9.8* later required
Windows Server
Windows Server 2008, 2008 R2, 2012, 2012 R2
Windows Server 2003 SP1, SP2 Hotfix KB 938397 対応版
SHA-256 Only
Windows
Windows XP SP3
Windows Vista
Windows 7
Windows 8
※SHA-256 Only
Browser
Internet Explorer 7 later required and Windows XP SP3 later required
Safari with Mac OS X 10.5 later required
Firefox 1.5 later required
Netscape 7.1 later required
Mozilla 1.4 later required
Opera 9.0 later required
Konqueror 3.5.6 later required
Mozilla-based browsers since 3.8 later required
OpenSSL 0.9.8* later required
Java 1.4.2 later required
Chrome 26 later required
Other
SHA2 environmental measures also can almost , but feature phones is also compatible terminal only SHA-1, there is also that the user of the environment does not support SHA-2.
Because there are many places that are doing a free re- issuance of the certificate issuance and for SHA-2 for a test that can be used for about 30 days in the SSL certificate issuing company , let’s do the transition to the SHA-2 these be utilized .
Each company of the SHA-1 on the policy , you can see from below for the transition to the SHA-2.
■ For guidance on support Eva trust SHA-1 certificate
www.cybertrust.ne.jp/ssl/sureserver/sha1ms.html
CSR Create / certificate installation instructions
www.cybertrust.ne.jp/ssl/support/tec_download.html#01
■With respect to the transition from the SHA-1 of Symantec hash algorithm to SHA-2
www.symantec.com/ja/jp/page.jsp?id=ssl-sha2-transition
■For global sign SHA-2 transition to electronic certificate
jp.globalsign.com/information/important/detail.php?no=1393982560
[ Managed PKI] client authentication Apache how to set (SHA256 certificate )
jp.globalsign.com/support/epki/542.html
[:]
