こんにちは、システム統括本部 プラットフォーム開発本部 セキュリティテクノロジー部 セキュリティスペシャリストの戸田 薫です。
今回は、SSLサーバ証明書に関してお伝えします。
SHA-1からSHA-2へ
「SHA-1」の危殆化を背景にSHA-1証明書の利用禁止に関する工程表が業界団体や企業から告知されています。
CAブラウザフォーラム(ブラウザベンダーの業界団体)
2017/01/01以降、SHA-1証明書を利用したSSLサイトとのSSL通信と禁止する。
Google Chrome
2015年上旬(詳細時期未定)以降、「有効期限が2016/01/01以降」のSHA-1証明書を利用したSSLサイトにアクセスした場合、警告メッセージを表示する(SSL通信自体は可能)。
SHA-1やSHA-2はハッシュ関数で、証明書の正当性を保証する電子署名で用いられます。
Yahoo! JAPANでの対応について
Yahoo! JAPANでもSHA-2 の SSL サーバ証明書へ移行していきます。切り替えのタイミングは2015年中に行われ、サービスごとに任意のタイミングで実施されます。
証明書の切り替え時には、OS、ブラウザ、携帯端末などのカバレッジや影響を考慮して検討を行っています。カバレッジなども考慮し、複数のベンダーの証明書を利用しています。そのため、携帯向けサイトでは、引き続き、SHA-1 の証明書の利用を継続し、時期を見計らって移行します。SHA-1 証明書は 2015年 までしか発行されないため、2015年中には、変更いたします。一部の携帯電話は、SHA-2証明書に対応していないものがありますので、携帯電話でウェブを利用している方は、サービスを利用できなくなる可能性がございます。ご注意ください。
古いOSをご利用の方へ
Windows XPは、SP3未満のIEもアクセスできませんので、ご注意ください。
HTTPSのWebAPIをご利用の方へ
SHA-1証明書と中間証明書が変更されますが、Yahoo! JAPANの HTTPS で提供されている WebAPI を利用されている方には、影響ございません。
接続できなくなった場合には、ルート証明書のストアをご確認ください。Unix では、ca-bundle.crt といったファイルです。
参考
SHA-2証明書の対応端末やブラウザなどについては、GMOグローバルサインのサイトでご確認ください。
- モバイル(携帯)端末の対応に関して(SHA256証明書)
https://jp.globalsign.com/support/faq/540.html - 対応ブラウザに関して(SHA256証明書)
https://jp.globalsign.com/support/faq/539.html?service=ssl
こちらの記事のご感想を聞かせください。
- 学びがある
- わかりやすい
- 新しい視点
ご感想ありがとうございました
