マイクロソフトとGoogleが、ハッシュアルゴリズムSHA-1の廃止プランを発表しました。
マイクロソフトは、2013年11月に 『マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止』が発表しました。
Windows環境において、ハッシュアルゴリズムSHA-1の証明書が2017年1月1日以降利用することができなくなるとの事です。
Googleは2014年9月5日に、Chrome39以降のChromeで、SHA-1のSSLサーバー証明書が導入されたWebサイトと通信する際に、警告表示を出すとのことです。
下記のように、「SSLサーバーが古い可能性がある」と言われる
関係ないさーッて思ってたら、Chrome40になった途端に、警告出てました。
このサイトでは古いセキュリティ設定が使用されており、Chromeの今後のバージョンではこのサイトに安全にアクセス出来ない可能性があります。
といった、今まで見たこともない警告を出してくれてます!!
この前導入したSSLにも警告出されるようになってました・・・・。
2016年5月31日以降が有効期限のSSL証明には、警告が出されます。
そのため、有効期限が2016年4月10日のSSL証明書を導入してる、Webサイトは警告など出ていませんでした。
あー、最近変えたSSL全滅だ・・。1年数千円の安いやつだからまだいいけど、数万円にやつだったら立ち直れない。
これって、おかしい。
SHA-1のハッシュアルゴリズムが安全でないというのは良いでしょう。いうことを聞きましょう。
でも、有効期限が長いSSLには警告だして、有効期限が短いSSLには警告出さないのはオカシイ。どちらの安全性は同じのはず。警告が出るだけで、ユーザーが逃げるでしょうが。
早くSHA-2に変更させるなら、SSL証明書ベンダーがガンガン啓蒙活動すればよいでしょうに。
ベンダーさんが購入者にメールを送ればよいでしょうが。
2017年7月からはWebサイト表示されなくなります。
2017年7月からは、SHA-1のSSL証明書を導入しているWebサイト表示されなくなります。
URLの部分は、以下の危険の表示がでるようになります。
多分こんなページが表示される・・。
Google ChromeのHTTPSステータス表示
HTTPSの通信OK
HTTPとHTTPSのコンテンツ混在に良くなる。
危険(情報:パスワード、メッセージ、クレジット カード情報など)を不正に取得しようとしている可能性がある。
SSL証明書が導入されていないサイトは表示させない
もしかすると、今後はhttpsじゃないサイトはサイトにあらずってな具合に、httpのサイトは表示されなくなる予感。
こんなアラートが出ないようにSHA-2 に移行
コメント