IEとEdgeもやっと2017年5月10日のセキュリティ更新プログラム (月例)でSHA-1版の証明書に対して警告を表示する実装を行いました。
これで、3大ブラウザChrome、Firefox、IE(Edge)のすべてがSHA-1証明書に対して警告を表示することになります。
IEとEdgeもSHA-1の証明書に対して警告を表示(この Web サイトのセキュリティ証明書には問題があります。)
では、早速警告メッセージから見ていきましょう。
警告メッセージ
警告メッセージは以下の通りです
IEの場合
この Web サイトのセキュリティ証明書には問題があります。
このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません。
セキュリティ証明書の問題によって、詐欺や、お使いのコンピューターからサーバーに送信される情報を盗み取る意図が示唆されている場合があります。
ちなみに、詳細情報をクリックすると
「•リンクをクリックしてこのページが表示された場合は、アドレス バーにある Web サイトのアドレスを見て、目的のサイトであるか確めてください。
•https://example.com のようなアドレスの Web サイトを表示する場合は、https://www.example.com のようにアドレスに ‘www’ を追加してください。」
というようなメッセージが表示されるのですが、この内容はコモンネームに不一致についての内容のようなのでちょっとずれてますね。
Edgeの場合
このWebサイトのセキュリティ証明書には問題があります
だれかがユーザーを騙そうとしているか、サーバーに送信されたデータを盗み取ろうとしている可能性があります。このサイトをすぐに閉じてください。
IE、Edgeのいずれの場合も、穏やかな内容ではありませんので、これは対処が必要ですね。
更新プログラムについて
この実装自体は2017年2月にされると言われていたのですが、のびのびで今回やっと適用されたというものです。
Chromeにシェアを抜かれたと言っても、今でもIEは主力ブラウザなので、今回の変更は結構影響が大きそうですね。
更新プログラムの内容は以下のサイトが参考になります。
マイクロソフト セキュリティ アドバイザリ 4010323
https://technet.microsoft.com/library/security/4010323
対象のOSとブラウザのバージョン
今回の措置はすべてのWindows OS、ブラウザではなく、バージョンによっては適用されていないものもあります。
まず、ブラウザは以下が対象になっています。
- Internet Explorer 11
- Edge
OSはこちらが対象です。Windows 7のSP1以降からが対象ですね。
- Windows 7
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
- Windows Server 2008 R2
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
- Windows 8.1
Windows 8.1 for 32-bit Systems
Windows 8.1 for x64-based Systems
- Windows Server 2012 R2
Windows Server 2012 R2
- Windows 10
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1511 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
- Windows Server 2016
Windows Server 2016 for x64-based Systems
- Server Core インストール オプション
Windows Server 2008 R2 for x64-based Systems (Server Core インストール)
Windows Server 2012 R2 (Server Core インストール)
Windows Server 2016 for x64-based Systems (Server Core インストール)
対処、改善方法
この状態になったら、サイトに適用されているSHA-2版の証明書へ切り替える必要があります。サイト管理者の方は、サーバ証明書を購入した先に相談してください。
CAによって無償、有償など違いがあると思います。
エンドユーザの場合はサイトの運営者へ相談することになります。
参考情報:IE以外のブラウザの動作
参考までにIE以外のブラウザでのエラーメッセージです。
Chrome、FirefoxともにSHA-1ブロックはかなり前から実装されているものです。
FirefoxのSHA-1証明書に対する警告
安全な接続ではありません
[サイト名]の所有者によるウェブサイトの設定が不適切です。あなたの情報が盗まれることを防ぐため、このウェブサイトへの接続は確立されません。
エラーを報告すると、悪意のあるサイトの特定とブロックに役立ちます
そして、「エラー内容」のボタンをクリックすると
[サイト名]は不正なセキュリティ証明書を使用しています。
安全ではない署名アルゴリズムによって署名されているためこの証明書は信頼されません。
エラーコード: SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED
と表示されますので、問題の特定がしやすいですね。
ChromeのSHA-1証明書に対する警告
この接続ではプライバシーが保護されません
攻撃者が、 [サイト名]上のあなたの情報(パスワード、メッセージ、クレジット カード情報など)を不正に取得しようとしている可能性があります。 NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM
そして、「詳細設定」をクリックすると
[サイト名]にアクセスしようとしましたが、サーバーから提示された証明書が脆弱な署名アルゴリズム(SHA-1 など)を使用して署名されています。サーバーから提示されたセキュリティ認証情報は偽装されている可能性があり、アクセスしようとしたサーバーとは異なるサーバーであるおそれがあります(悪意のあるユーザーと通信している可能性があります)。
[サイト名]にアクセスする(安全ではありません)
と表示されますので、これまたかなりわかりやすく問題の特定ができます。
まとめ
とうとうIEも、という感じなので、SHA-1アルゴリズムにしか対応していない機器なんかを使っているところはいい加減あきらめた方がよさそうですね。
機器のリプレイスやバージョンアップなどは、一時的に大変な作業かもしれませんが、「攻撃を受けて情報漏えい」なんてことになったらそれこそ事業の存続性に関わる問題になることもあります。
SHA-1の安全性が低下とは言え、なかなか実害までは聞いたことがないので、「後回し」にされていることが多いと思いますが、最近はセキュリティ事故が頻発していますので、このような問題には早めに対処する必要があると思います。
コメント