SHA-2について│さくらインターネット

SHA-1証明書の受付終了と
SHA-2証明書への移行について

2014年11月19日公開

このページに掲載されている内容の一部はサイバートラスト様からご提供いただいております。
サイバートラスト様のページと内容に齟齬がある場合は、サイバートラスト様側のページ内容が最新となります。
サイバートラスト様のページはこちら

本ページでは、署名アルゴリズムを「SHA-1」とするSSLサーバー証明書(以下、SHA-1証明書とします。)の受付終了と、署名アルゴリズムを「SHA-2」とするSSLサーバー証明書(以下、SHA-2証明書とします。)への移行についてご案内します。

SHA-1証明書に関する指針について

「SHA-1」のSSLサーバー証明書に関するブラウザベンダや業界団体(CA/Browser Forum(以下、CABFとします。))の指針は以下です。
※SHA-1の中間CA証明書も下記指針の対象です。
※2014年9月24日時点の情報に基づく内容のため、今後変更される可能性がございます。あらかじめご了承ください。

1. Microsoft社の指針

a.概要
Microsoft社は2013年11月に発表した「Windows Root Certificate Program - Technical Requirements version 2.0」において、SHA-1証明書に関する下記の指針を表明しました。

  • ・認証局は、2016年1月1日までに新しいSHA1 SSLおよびコード署名証明書の発行を停止しなければならない。
  • ・Windowsは2017年1月1日でSHA1証明書でのSSL通信を拒否する。

【2016 年 5 月 12 日 更新】

「SHA-1 廃止に関するロードマップの最新情報」において、以下の計画が発表されました。

【変更前】2017 年 1 月 1 日で SHA-1 証明書での SSL 通信を拒否

【変更後】・廃止日を2017 年 2 月 14 日 (米国時間)へ延期 (SHA-1 で署名した TLS 証明書をブロック)
・2016 年 8 月 2 日(火)より提供の Windows 10 Anniversary Update 以降、Microsoft Edge とInternet Explorer は SHA-1 証明書で保護された Web サイトを信頼から除外し、これらのサイトのアドレスバーから鍵アイコンを外す。

※本変更は、Windows 10 上の Microsoft Edge と Windows 7、Windows 8.1 および
 Windows 10 上のInternet Explorer 11 が対象です。
※発表された内容に「信頼されているサイトからは除外されます」とございますが、本アップデート以降もWEBサイトへの
接続ならびにSSL暗号化通信は行われます。
※EV 証明書のグリーンバー表示も行われません。

◆Windows 10 Anniversary Update 適用前後の比較

【適用前表示例】
EV の SHA-1 証明書は、アドレスバーが緑になり、組織名と鍵マークが表示されます。

EV 以外の SHA-1 証明書は、鍵マークが表示されます。

【適用後表示例】
SSL 暗号化通信は行われますが、http 通信(非 SSL 通信時)と同様に鍵マークが表示されません。

b. 影響
SSL サーバー証明書を発行する認証局は上記指針に従い、2015 年 12 月 31 日までに SHA-1 証明書の発行を停止する必要があります。また、2017 年 2 月 14 日以降、SSL サーバー証明書の発行元に関わらず、 Windows 製品で SHA-1 証明書の SSL 通信が拒否されます。

【2016 年 2 月 16 日 追加】

SHA-1 を利用している SSL/TLS 証明書を信頼しないように措置をとる対象の OS は、Windows 7, Windows Server 2008 R2 以降の OS です。

[IT 管理者向け] 残っていませんか? SSL/TLS 証明書の SHA-1 廃止はもうすぐ

2. Googleの指針

a.概要
Googleは2014年9月にChromium Blogにて発表した「Gradually Sunsetting SHA-1」において、SHA-1証明書が使用されているWEBサイトへのSSL接続において、これからリリース予定のChrome39 ~ 41で段階的にアドレスバーの表示を変化させることを表明しました。

【2016 年 1 月 26 日 追加】

「An update on SHA-1 certificates in Chrome」において、以下の計画が発表されました。

【変更前】2016 年 1 月 1 日以降の SHA-1 証明書を使用している場合、アドレスバーのアイコン表示を変更

【変更後】上記に加え、遅くとも2017 年 1 月 1 日以降、すべての SHA-1 証明書をブロックする。
また、2016 年 7 月 1 日以降に前倒しすることを検討

b.影響
サーバー証明書の有効期間満了日が 2016 年 1 月 1 日以降かつサーバー証明書、中間 CA 証明書、クロスルート証明書の中に SHA-1 証明書が含まれている場合、アドレスバーのアイコン表示が変わります。

バージョン 証明書の有効期間満了日
~2015年12月31日 2016年1月1日~
5月31日
2016年1月1日~
12月31日
2017年1月1日~
Chrome39
Chrome40~41
Chrome42~45
Chrome46~
  • ・EV証明書の表示:
  • ・OV証明書の表示:

Chrome39~49

・満了日が2016 年 1 月 1 日以降の SHA-1 証明書
 鍵マークをクリックした際に以下のようにアイコンが変更され、注意喚起のメッセージが表示されます。

Chrome50~

Chrome 39 以降における SHA-2 証明書のクロスルート設定について

「SHA-1 証明書」に関するアドレスバーの表示変更条件に加えて、「SHA-2 証明書」においても
特定条件により「鍵マークに黄色の三角つきのアイコン」などが表示されることを確認いたしました。


影響を受けるサーバー証明書や条件、対策方法などの詳細には、下記をご確認くださいますようお願い申し上げます。


▼対象となるサーバー証明書
 ・SureServer[SHA-2]、SureServer EV[SHA-2] (MD、for クラウドを含む)


▼Chrome 39 ~ 41 でアドレスバーが表示変更される条件
 ・中間 CA 証明書とクロスルート証明書のいずれか、または双方が SHA-1 である場合、かつ
 ・サーバー証明書の満了日が 2017 年 1 月 1 日以降の SHA-2 証明書(※)


※今後順次リリース予定のバージョンにおいて段階的に対象の有効期間が拡がり、またアドレスバーの表示が変化します。


▼影響
 サーバー証明書の有効期間に応じて、「SHA-1 証明書」と同様に Chrome のアイコン表示が
 「鍵マークに黄色の三角つきのアイコン」などに変化します。


▼対策方法
 ■SureServer[SHA-2]
 サーバー証明書を設定しているサーバーや機器からクロスルート設定を削除します。
 ・クロスルート設定から 3 階層設定への変更手順
  Apache
  IIS
 ■SureServer EV[SHA-2]
 サーバー証明書を設定しているサーバーや機器でコチラのクロスルート証明書を差し替えます。


<変更した場合の注意点>
・上記の設定変更に伴い、Android 2.2 以下のバージョンにおいて、証明書が信頼できない旨の警告が表示されます。
 あらかじめ、ご了承ください。

3. Mozillaの指針

a.概要
Mozillaは2014年9月にMozilla Security Blogにて発表した「Phasing Out Certificates with SHA-1 based Signature Algorithms」において、SHA-1証明書の発行と利用の非推奨、およびSSL接続時の表示変更に関する以下の指針を表明しました。

【2016 年 1 月 26 日 追加】

「Continuing to Phase Out SHA-1 Certificates」において、以下の計画が発表されました。

【変更前】2017 年 1 月 1 日以降、 SHA-1 証明書を使用している場合にエラーを表示

【変更後】2016 年 7 月に変更する可能性有り

b.影響

2015年初期にリリース予定のFirefox

2015年初期のリリース後に追加が計画されている動作

※2017年以降のある時点において、コンテンツを表示できない(エラーを無視できない)状況にする可能性有り

4. CABFの指針

a.概要
SSL サーバー証明書の仕様や審査基準などに関する指針「Baseline Requirements」において、以下を表明しています。

・2015年1月16日以降、満了日が2017年1月1日を超える SHA-1 証明書の発行を行うべきではない(SHOULD NOT)
・2016年1月1日以降、 SHA-1 証明書を発行してはならない(MUST NOT)

b.影響
SSL 通信時における動作に特段の影響はありません。

本指針の影響について

1. SHA-1証明書の受付終了

さくらインターネットでは、SHA-1証明書の新規発行受付を2014年11月19日をもって終了いたしました。 ※更新用のSHA-1証明書につきましては、2015年12月を目処に、申込受付を終了する予定です。

2. SHA-1証明書からSHA-2証明書への移行

SHA-1証明書からSHA-2証明書への移行の目安

SHA-1証明書のご利用時期や有効期間に応じて、WindowsのSSL通信拒否やChromeとFirefoxにおける表示変更が行われるため、 以下の日付を超えないようにSHA-2証明書へ移行することを強く推奨します。

SHA-2証明書をご利用中の場合

SHA-1証明書に関する指針の影響は受けません。引き続き、SHA-2証明書をご利用ください。
※SHA-1証明書用の中間CA証明書を設定済みの場合、SHA-2用の中間CA証明書に入れ替える必要があります。

PCブラウザ・モバイル・サーバー対応について

現行のガラケーと呼ばれる携帯電話の多くがSHA-2証明書に非対応となります。
携帯電話のご利用状況を考慮のうえ、随時SHA-2証明書へ移行してください。

SHA-2証明書の対応状況

SHA-1証明書からSHA-2証明書への移行の目安

SHA-2証明書の対応状況の詳細については、以下をご覧ください。

サイバートラスト
・サーバー・クライアントカバレッジ
シマンテック
・SHA-2各種プラットフォーム対応状況
セコム
・対応サーバおよび推奨ブラウザ
・携帯電話からのSSL接続対応機種一覧(PDF)
グローバルサイン
・対応ブラウザ
・モバイル(携帯)端末の対応に関して
・各社アプライアンス・クラウドサービスの対応状況

FAQ

Q. SHA-1、SHA-2とは何ですか?
A. SHA-1、SHA-2は、SSLサーバー証明書で使用される署名アルゴリズムに利用されているハッシュ関数で、数字が上がるほど安 全性が高まります。署名アルゴリズムは、インターネット通信の途中で、悪意を持った第三者にSSLサーバー証明書が偽造(改ざん)されることを防止(検知)するために使われます。
Q. SHA-1証明書を使用し続けることは可能ですか?
A. いいえ、できません。
SHA-1証明書が有効期間内であっても、Windows製品では2017年以降にSSL通信を拒否され、Chrome、Firefoxをご利用の場合は有効期間に応じて警告やエラー表示となります
Q. SHA-2非対応の機器へインストールを行った場合、どのようになりますか?
A. 証明書のインストール時にエラーが発生したり、サーバを起動できなくなります。
Q. SHA-2非対応のブラウザや携帯電話(ガラケー)から接続した場合、どのようになりますか?
A. 以下のようなSSL接続エラーとなりコンテンツを表示できません。
Q. 公開鍵長1024bitから2048bitへの移行時のように、サーバーの設定で対応率の低下を回避する方法はありますか?
A. いいえ、ありません。
携帯電話がハッシュ関数「SHA-2」を扱えるか否かによるため、サーバーの設定では対応率をあげることはできません。
Q. クライアント証明書やS/MIME証明書にも影響がありますか?
A. いいえ、ありません。
Q. Windows製品、Chrome、Firefox以外にも影響がありますか?
A. 2014年10月6日時点におきましては上記以外の製品に対するSHA-1証明書に関する指針が表明されていないため、影響はないものと考えております。
しかし、各国政府機関やSSLサーバー証明書の業界団体では、「SHA-2」への移行、または移行を推進する動きが活発化されて  いるため、今後同様の指針が発表された場合には他製品にも影響を及ぼす可能性があります。
Q. SHA-2証明書へ移行する際、中間CA証明書の変更も必要ですか?
A. はい、必要です。
SHA-2証明書に必要な中間CA証明書が異なり、またSHA-1証明書に関する指針は中間CA証明書も対象となるため、サーバー証  明書と一緒にSHA-2用の中間CA証明書の設定も必要です。
Q. PCブラウザや携帯電話から接続可能なSHA-2証明書の接続テストサイトや、テスト証明書はありますか?
A. はい、あります。以下をご利用ください。
シマンテック
・SHA-2検証サイト
セコム
・テスト証明書

その他のSSLサーバ証明書

GMOグローバルサイン SECOM Symantec
GMOグローバルサイン SECOM Symantec
ヨーロッパで10年以上の実績を持つ老舗認証局。書類審査が不要な「クイック認証SSL」、書類審査による高い信頼性のある「企業認証SSL」の2つのプランからお選び頂けます。 セキュリティブランドとして有名なセコムのSSLサーバ証明書は、信頼性と実用性を兼ね備えた、SSLサーバ証明書サービスです。 世界で最も実績のある第3者認証機関であるシマンテック・ウェブサイトセキュリティ社の提供するSSLサーバ証明書サービスです。
GMOグローバルサイン SECOM Symantec
お問い合わせ

カスタマーセンター

フリーコール 0120-977808(無料)

受付時間: 平日10:00~18:00

お問い合わせ