今のところSHA-1版証明書の利用期限は、2016年末という感じですが、どうも前倒しになるような動きがあるようですね。
GoogleはすでにChromeで2016年以降の有効期限のSHA-1証明書に対して注意、警告が出るようにしていますが、IEやFirefoxも今年中に何かしらの実装をしてくるかもです。
まずは各社の対応をチェックして、最後にまとめています。
SHA-1証明書の利用停止時期が前倒し
Microsoft
以下のサイトで早ければ2016年6月にもSHA-1版証明書の廃止に踏み切る可能性があることが書かれています。
In a previous update on TechNet, we announced that Windows will block SHA-1 signed TLS certificates starting on January 1, 2017. In light of recent advances in attacks on the SHA-1 algorithm, we are now considering an accelerated timeline to deprecate SHA-1 signed TLS certificates as early as June 2016.
気になるIEの表示ですが、サイバートラストのサイトでは、セキュリティ警告が出た後に、選択肢がなく進めないパターンの表示になる可能性があると書かれています。
確かに今の警告パターンって、割と簡単に進めてしまうので、警告の意味合いが他のブラウザと比較して甘い感じしますしね。
Mozila Firefox
FirefoxのMozilaさんですが、ブログの情報ですが、2016年7月から「信頼されない接続」エラーを表示する実装を検討していると言っています。
We are re-evaluating when we should start rejecting all SHA-1 SSL certificates (regardless of when they were issued). As we said before, the current plan is to make this change on January 1, 2017. However, in light of recent attacks on SHA-1, we are also considering the feasibility of having a cut-off date as early as July 1, 2016.
Google Chrome
一足先に、SHA-1版証明書への対策が始まっているChromeですが、これもブログの内容ですが、2016年7月に前倒しすることを計画していると言っています。
まぁ、2017年の超えのSHA-1証明書に対していち早く対応しているGoogleのことですから、確実に前倒しでやってくるでしょうね。
In line with Microsoft Edge and Mozilla Firefox, the target date for this step is January 1, 2017, but we are considering moving it earlier to July 1, 2016 in light of ongoing research. We therefore urge sites to replace any remaining SHA-1 certificates as soon as possible.
Chromeの対応状況は段階的で分かりづらいのですが、サイバートラストさんのサイトにわかりやすいものがあったので、ご紹介します。
これの2017年1月1日からのところが、2016年7月1日からになるのと、さらにもっと厳しい措置をしてくるかもですね。
まとめ
3社の対応をまとめると
Microsoft:2016年6月1日
Mozila:2016年7月1日
Google:2016年7月1日
に前倒しする可能性があるということ。どうせなら7月1日に合わせてほしいですが、もしかしたら、MozilaとGoogleが6月1日に合わせてくるかもしれませんね。
いずれにしても、SHA-2化への流れは加速しそうであることは間違いありません。
早めの対応が必要です。
コメント