読者です 読者をやめる 読者になる 読者になる

「SHA-2証明書」移行問題

風向きが変わったのは2013年11月のこと。移行が遅々として進まない状況に業を煮やしたのか、政府調達関係などで対応を迫られたためなのか真意は不明だが、米マイクロソフトが「Windows Root Certificate Program - Technical Requirements version 2.0」という文書を発表。この中で、今後のSHA-1証明書の扱いについて明確に方針を示したのだ。

具体的には、Windows環境において
SHA-1証明書の発行を2016年1月1日に停止する
SHA-1証明書を使ったSSL通信を2017年1月1日以降拒否する
方針であることを表明した。

f:id:nonbei:20140902082827j:plain
マイクロソフトによるSHA-1証明書の廃止スケジュール シマンテックの資料より引用

 つまり、2017年1月1日以降はSHA-1証明書を使っているサーバーにWindowsクライアントからアクセスしたり、WindowsサーバーでSHA-1証明書を使ってサービスを提供したりすることは一切できなくなる(図2)。ただし、100パーセント決まっているわけではなく、(時期の見直しなどについて)「2015年7月の時点で検討する」ことも付け加えている。

 一民間企業であるマイクロソフトが自社のWindows環境向けに適用する方針を表明しただけであり、文書に法的拘束力はもちろんない。しかし、SHA-1証明書のままでは世界中で使われているWindows機でSSL通信ができなくなるとなれば、実質SHA-1証明書が利用できなくなるのと同じである。


(略)


ターゲットとなる端末でSHA-2証明書の検証が可能かどうかを実際に検証する作業もできる限りしておいた方がよい。証明書ベンダー各社が用意しているチェック用Webページ(コモドサイバートラストシマンテック)を利用すれば、手持ちの端末が対応しているかどうかすぐ確認できる




引用元:

証明書ベンダー各社が用意しているチェック用Webページで確認 OK。