GoogleがSHA-1 SSL証明書に関する新たなポリシーを発表
GMOグローバルサインは以前お知らせにて、お客様が利用するSSL証明書に最新のハッシュアルゴリズムを選択いただくことの重要性をお伝えすると共に、業界全体でSHA-1からSHA256へのアルゴリズム移行を進めていることをご紹介しました。
最近Googleが、SHA-1 SSL証明書のインストールされたウェブサイトへアクセスしたユーザに、証明書の有効性が低いと表示する、という新たなポリシーを発表したことにより、アルゴリズムの移行を速やかに行うことがより重要性を増してきました。Googleの動きは、より安全なセキュリティレベルへの移行を促進するポジティブな一歩と言えますが、これはSSL証明書をご利用いただいている皆様にとって何を意味することになるのでしょうか?
2014年9月5日付 Googleオンラインセキュリティブログ: Gradually sunsetting SHA-1
Chrome 39はSHA1証明書の有効性を低いとみなす
SHA-1はもはや十分に安全とはみなされておらず、今後数年で利用できなくなっていくと予想されます。より安全なアルゴリズムへの早急な対応を推奨するために、SHA-1 SSL証明書のインストールされたウェブサイトへアクセスしたユーザに注意を促すよう、GoogleはChrome 39のユーザインタフェース変更を計画しています。
この変更は実現に向けて進んでおり、Chrome 39に実装され2014年11月にリリースされる予定です。2017年1月1日以降に有効期限の切れるSHA-1 SSL証明書に対して、Chrome 39にて表示が予定されるのは、“証明書は有効だが、軽微なエラーあり”を意味する鍵マークに黄色の三角印が付いた形(図1参照)ですが、Chrome 41では鍵マークに赤い×印、そして「https」の文字に赤斜線が入った形の表示になる見込みです。(図2参照)
(図1)証明書は有効だが、軽微なエラーあり
(図2)証明書は有効性に欠け、重大なエラーあり
2017年1月1日以降の有効期間を持つSHA-1証明書は、2014年11月までに証明書のハッシュアルゴリズムをSHA256にアップグレードしておかないと、ウェブサイトにアクセスしたユーザには証明書の有効性が低いというマークが表示されることになります。Googleは、影響を受けると思われるベンダー・ソフトウェア会社・企業・サイト運営者等からのフィードバックを継続的に受け付けることを明言しています。どんなフィードバックが寄せられているかは、Google groupに参加すれば参照することができます。
貴社httpsウェブサイトも準備を!
GMOグローバルサインの提供するSSLチェックツールをご利用いただければ、ウェブサイトがGoogleの新ポリシーに対し準備できているか確認することができます。
現在2017年1月1日以降に有効期限の切れるSHA-1 SSL証明書をご利用中の場合、SSL証明書の安全性を維持していくために下記のアクションをとっていただくことが必要です。
- SHA256にて証明書を再発行・再設定してください。Google Chrome39がリリースされましても、ウェブサイトにアクセスしたユーザが証明書の有効性が低い旨の表示に遭遇することを回避できます。GMOグローバルサインは無償でご利用中の証明書をSHA256にアップグレードいたします。
再発行のお手続き - お客様のアプリケーションがSHA256未対応の場合には、できる限り早期にアップグレードいただくことを強く推奨いたします。対応環境一覧はこちらから参照できます。
SHA256 サーバ証明書の対応について
Google Chromeユーザがお客様ウェブサイトの証明書の有効性に不安を抱くことの無い様すぐにアクションをお取りいただき、アクセスユーザに対するウェブサイトの信頼性を維持していきましょう。ご質問などございましたら、GMOグローバルサインまでお問い合わせください。
注)上記内容は、2014年9月5日時点での情報に基づいており、Googleの実装及びリリーススケジュールが変更される可能性もあります旨ご了承ください。