SHA-1廃止が引き起こす悲劇と対策法〜サーバー運用者編〜

IT・IT製品TOP > Key Conductors > 山城 章仁(株式会社ディーバ) > SHA-1廃止が引き起こす悲劇と対策法〜サーバー運用者編〜
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

SHA-1廃止が引き起こす悲劇と対策法〜サーバー運用者編〜

エンドポイントセキュリティ 2016/02/10

 前回は「SHA-1」廃止問題とは何なのか?誰にとってどのような問題が起こるのか?について解説しました。今回は、主に“サーバー運用者”の方に向けて、「SHA-1」廃止で起こりうる問題と対策法を紹介します。

悲劇1:2017年1月1日以後、あなたのサイトは閲覧できなくなるかも?

 Windowsは2017年1月1日以後、SHA-1サーバー証明書をもつSSLサーバへの通信を遮断します。

 あなたの会社がBtoBの会社でweb上では直接販売はせず、お問合せフォームだけを設けていて、問い合わせがそんなに多くないというケースだったとします。そんな中、2017年1月1日がやってきて「年明けだから問い合わせが少ないのだろう」と思っていたら…サイト自体が閲覧できなくなっていた!なんてことが起こるかもしれません。この場合、発覚が遅れることで貴重な営業機会を逃してしまうのです。こうなる前に、サーバー証明書を変更して下さい。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

悲劇2:2016年6月以後、あなたのサイトはIEで閲覧できなくなるかも?

 Microsoftは当初2017年1月1日より前については言及していませんでしたが、最近、新しいアナウンスを行いました。それによると、2016年6月以降、文言は未定であるものの、SHA-1サーバー証明書をもつサーバーへのアクセスについて証明書が安全でない旨の警告メッセージを出すことを検討中であるとのことです。
 
 でも考えてみて下さい。このメッセージの“文言”によっては、あなたのサイトは、実質的に閲覧できない状態と同じことになるかもしれません。もし万が一閲覧はしてくれても、少なくとも大半のユーザはID・パスワードの入力や個人情報の入力は躊躇するものと思われます。
 
 以下に詳細情報がアップされているページを紹介します。ご確認いただきつつ、こうなる前にサーバー証明書を変更して下さい。

●SHA-1廃止問題全体に関するMicrosoft社の説明ページ(日本語)です。

●SHA-1廃止問題全体に関するMicrosoft社の最新ページ(英文)です。

悲劇3:2016年7月以後、あなたのサイトはFireFoxで閲覧できなくなるかも?

 FireFoxについても、Internet Explorer同様に、最近新しいアナウンスがなされ、2016年7月以後の対応を検討中とのことです。

 以下に詳細情報がアップされているページを紹介します。こちらもご確認下さい。

●SHA-1廃止問題全体に関するMozillaの説明ページ(英文)です。

悲劇4 : 現在、あなたのサイトはChromeで“バツ印”がついているかも?

 Google ChromeはバージョンによってSHA-1の取り扱いが変わりますが、Chrome 46以降はすでにSHA-1について、安全なSSLである旨の“南京錠”アイコンを表示しません。

 以下に詳細情報がアップされているページを紹介します。ご確認下さい。

●他のバージョンの動作についてGoogleの説明ページ(英文)です。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 更に注意すべきは、Google Chromeはサーバー証明書がSHA-1であってはいけないというだけではなく、中間証明書もSHA-1であってはいけないということです。
(ただし、ルート証明書はSHA-1でも問題ありません。)

 SHA-1廃止の方針が打ち出される前にSHA-2に変更しているケースでは、これに該当するかもしれません。今まで何も問題なかったのであれば「今も問題ない」と考えるのが普通ではありますが、念のため、最新のChromeでアクセスしてみることをお勧めします。

悲劇5:SHA-2に切り替えたら、古いガラケーやスマホからアクセスできなくなった!

 “SHA-1の証明書が発行されない”という状況を考えると、十分な周知期間を経て該当端末へのサービス中止を決断する以外の選択肢が思いつきません。

 Apacheの場合に限り、複数の証明書が1つのサーバーに設定できるという話もありますが、残念ながら今となっては、これも時間との闘いである気がします。

まとめ

 繰り返しますが、以下の点に気をつけ下さい。

●既にSHA-1証明書の新規発行は禁止されています。

●2017年1月1日にはすべてのSHA-1証明書は無効となります。

●2016年中も、6月・7月と山場がありますが、時期・内容が未定です。

●旧端末ユーザへの周知期間・相当な検証期間をとりつつ、可及的速やかに、可能であれば、2016年6月より前に、SHA-2あるいは他のアルゴリズムに切り替えて下さい。

●詳細は各証明書ベンダのサイトをご覧下さい。

●中間証明書もSHA-1を除外する必要がありますが、ルート証明書についてはSHA-1のものも有効です。ルート証明書はそもそもMicrosoftにより配信・インストールされていますので、他の外部サイトからダウンロードされるサーバー証明書とは性質が異なり、SHA-1の脆弱性問題は意味をなしません。

 次回は「SHA-1」廃止が引き起こす悲劇と対策法「開発者(Cab署名者)編」をお送りします。是非、ご覧下さい。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008510


IT・IT製品TOP > Key Conductors > 山城 章仁(株式会社ディーバ) > SHA-1廃止が引き起こす悲劇と対策法〜サーバー運用者編〜

このページの先頭へ

キーマンズネットとは
株式会社アバントのグループ企業である株式会社ディーバにて連結会計パッケージソフトDivaSystemの帳票エンジンDivaReporterおよびExcel関数エンジンFormula-Xの設計・開発に従事。主に C++ および Excel VBAが専門分野。ニッチな技術分野の掘り下げに深い関心を持っています。

ページトップへ