SHA-1証明書の利用停止時期が前倒しになるって本当?

※この記事にはプロモーションが含まれています。

今のところSHA-1版証明書の利用期限は、2016年末という感じですが、どうも前倒しになるような動きがあるようですね。

GoogleはすでにChromeで2016年以降の有効期限のSHA-1証明書に対して注意、警告が出るようにしていますが、IEやFirefoxも今年中に何かしらの実装をしてくるかもです。

まずは各社の対応をチェックして、最後にまとめています。

SHA-1証明書の利用停止時期が前倒し

sha

Microsoft

以下のサイトで早ければ2016年6月にもSHA-1版証明書の廃止に踏み切る可能性があることが書かれています。

SHA-1 Deprecation Update
Ed note – please see “An update to our SHA-1 deprecation roadmap” for the most recent details on this topic. In a previous update on TechNet, we announced that ...

In a previous update on TechNet, we announced that Windows will block SHA-1 signed TLS certificates starting on January 1, 2017. In light of recent advances in attacks on the SHA-1 algorithm, we are now considering an accelerated timeline to deprecate SHA-1 signed TLS certificates as early as June 2016.

気になるIEの表示ですが、サイバートラストのサイトでは、セキュリティ警告が出た後に、選択肢がなく進めないパターンの表示になる可能性があると書かれています。

確かに今の警告パターンって、割と簡単に進めてしまうので、警告の意味合いが他のブラウザと比較して甘い感じしますしね。

SureServer 製品情報
SSL/TLS サーバー証明書 SureServer Prime および SureServer の製品情報をご案内します。

Mozila Firefox

FirefoxのMozilaさんですが、ブログの情報ですが、2016年7月から「信頼されない​​接続」エラーを表示する実装を検討していると言っています。

Continuing to Phase Out SHA-1 Certificates – Mozilla Security Blog
In our previous blog post about phasing out certificates with SHA-1 based signature algorithms, we said that we planned to take a few actions with regard to SHA...

We are re-evaluating when we should start rejecting all SHA-1 SSL certificates (regardless of when they were issued).  As we said before, the current plan is to make this change on January 1, 2017.  However, in light of recent attacks on SHA-1, we are also considering the feasibility of having a cut-off date as early as July 1, 2016.

Google Chrome

一足先に、SHA-1版証明書への対策が始まっているChromeですが、これもブログの内容ですが、2016年7月に前倒しすることを計画していると言っています。

まぁ、2017年の超えのSHA-1証明書に対していち早く対応しているGoogleのことですから、確実に前倒しでやってくるでしょうね。

In line with Microsoft Edge and Mozilla Firefox, the target date for this step is January 1, 2017, but we are considering moving it earlier to July 1, 2016 in light of ongoing research. We therefore urge sites to replace any remaining SHA-1 certificates as soon as possible.

An update on SHA-1 certificates in Chrome
Posted by Lucas Garron, Chrome security and David Benjamin, Chrome networking As announced last September and supported by further recent...

 

Chromeの対応状況は段階的で分かりづらいのですが、サイバートラストさんのサイトにわかりやすいものがあったので、ご紹介します。

SureServer 製品情報
SSL/TLS サーバー証明書 SureServer Prime および SureServer の製品情報をご案内します。

image.png

これの2017年1月1日からのところが、2016年7月1日からになるのと、さらにもっと厳しい措置をしてくるかもですね。

まとめ

3社の対応をまとめると

Microsoft:2016年6月1日

Mozila:2016年7月1日

Google:2016年7月1日

に前倒しする可能性があるということ。どうせなら7月1日に合わせてほしいですが、もしかしたら、MozilaとGoogleが6月1日に合わせてくるかもしれませんね。

いずれにしても、SHA-2化への流れは加速しそうであることは間違いありません。

早めの対応が必要です。

コメント