APR
28
2016

迫るSHA-1の廃止、SHA256への移行
~各ベンダーが利用期限見直しの動き~

著者: グローバルサインブログ編集部

このエントリーをはてなブックマークに追加

サイトの安全性を担保するために電子署名を用いたSSLを現在では、数多くのWebサイトが利用していると言われています。しかし、その暗号アルゴリズムが破られると通信の安全は保障できなくなり、なりすましやフィッシングに悪用されることが予測されます。

かねてからSHA-1証明書からSHA256証明書への移行は2016年12月31日までが期限と言われていましたが、ここに来てその期限を2016年中頃に前倒しする動きも出てきています。SHA256への移行の背景を改めて説明するとともに、各ブラウザベンダーの動きをご紹介します。

SHA-1証明書の問題と当初の移行期間とは

SHA-1証明書は電子的な情報の信頼性を担保するために用いられます。本来、電子情報の信頼性を確保するために電子署名、秘密鍵、公開鍵を使った暗号基盤が利用されています。電子情報に対して電子署名をするためには、RSA暗号と言われる秘密鍵を使った暗号化処理を行うことによって電子署名を実現します。しかし、RSA暗号による署名処理を行うためには、署名対象の電子情報のビット長をRSA暗号の計算処理ビットより短くしなければならず、署名対象の電子情報を圧縮し、ハッシュ値を計算する処理が必要となります。

この暗号化対象のデジタル情報をハッシュ値に変換するための「暗号学的ハッシュ関数」として広く利用されていた物のひとつがSHA-1です。SHA-1は1995年に米国連邦情報処理標準FIPS 180-1(Secure Hash Standard)として制定されました。 電子署名の偽造を防止するために、暗号学的ハッシュ関数には、非衝突性という特性が要求されます。つまり、同じハッシュ値となる署名対象の電子情報のペアを容易に作成できないという特性です。これができてしまうと、片方の署名対象の電子情報を使って署名処理を行い、それを電子署名として公開しておき、もう片方の電子情報を有効な電子署名として主張できてしまいます。つまり、電子情報の偽造ができてしまうことになります。

しかし、このSHA-1は2004年には中国山東大学王 小云教授によって、この「非衝突性」に対する欠陥が発表されました。この事を契機として、SHA-1を使った証明書の安全性に対するリスクが指摘され始めました。

米国立標準技術研究所(NIST:National Institute of Standards and Technology)は、2005年にSHA-1の欠陥が発表されたことを受けて、2010年までにSHA-1からSHA256に移行することをアメリカ合衆国政府に対して要請しました。

また、マイクロソフトは2013年11月にWindowsのSSL/TLSについて、2017年までにSHA-1の受け入れを行わないことを表明し、GoogleやMozillaも同様にChromeブラウザとFirefoxブラウザについて2017年までにSHA-1証明書を受け入れないことを検討、表明していました。

SHA256への2016年中の移行前倒しが叫ばれるようになったわけ

このようにSHA-1を使用した証明書は廃止の方向にむかっており、実際2016年1月1日からは、新規の証明書は発行されていません。計画通りであれば、2016年12月31日までに証明書をSHA256に変更すれば良かったわけですが、ここにきて2016年12月31日までの期限を前倒しにしようという動きもあります。

前段で説明したとおり、各ブラウザベンダーは当初、SHA-1を使用した証明書の拒否を2017年1月1日から行う予定でした。それは、 SHA-1のハッシュ関数の欠陥を使って、衝突する2つのデジタル情報を計算できるのが技術的に2017年以降になると予測されていたことを、主な根拠としていました。

しかし、オランダ、フランス、シンガポールの研究チームが2015年9月22日にSHA-1証明書に対する「フリースタート衝突攻撃」によって、偽造証明書の作成に成功したと発表しました。

そして、SHA-1廃止前倒しのもう一つの大きな理由は、コストの問題です。2012年時点での専門家の予測では、SHA-1証明書の偽造のコストについて2015年時点で70万ドル、2018年で17万3千ドルに低下すると予測されていました。

しかし、先の研究チームの発表によると2016年中にはAmazonEC2クラウドコンピューティングサービスを利用して7万5千ドルから12万ドル程度のコストで、証明書が偽造できるようになるという試算結果を発表しています。 犯罪集団にとって、この程度のコストは十分に対応できるものと考えられています。そのため、専門家は主要ブラウザがSHA-1廃止を行う2017年1月1日よりも前に攻撃が行われることを指摘し、SHA-1廃止の前倒しすることが重要であると強く主張しています。

SHA256移行時期前倒しについてブラウザベンダーの対応は

このような専門家によるSHA-1廃止の前倒しの勧告を受けて各ブラウザベンダーはどのような対応を行うのでしょうか。Microsoft(Internet Explorer)、Google(Chrome)、Mozilla(Firefox)の対応を見ていきましょう。

Microsoftは2013年11月の時点では2017年1月1日でSHA-1証明書を使ったSSL通信の拒否を行うと表明していました。しかし、先日2016年4月22日に、Microsoftより2017年2月14日以降にSHA-1証明書によるSSL通信の拒否を行うと新たに発表をいたしました。

Googleは2014年9月にChromeのバージョン39以降で、満了日が2016年1月1日以降のSHA-1証明書を使用しているサイトに対して、セキュリティ警告のダイアログを表示する対応を行い、2017年1月1日以降に満了を迎えるSHA-1証明書を利用したサイトについては、アドレスバーの表示を変更する対応を行うと表明しました。 しかし、勧告を受けてGoogleは2017年1月1日以降全てのSHA-1証明書を使ったサイトの表示をブロックする事を決定し、更にそれを2016年7月1日以降に前倒しすることも検討しています。

バージョン SHA-1証明書有効期間
2016年1月〜5月まで 2016年7月〜12月まで 2017年1月〜
39
40〜41
42〜45
46

Mozillaは2016年1月1日以降に発行されたSHA-1証明書、または2017年1月1日以降に満了を迎えるSHA-1証明書に対してセキュリティ警告を表示。更に2017年以降にSHA-1証明書の受け入れを拒否する予定でしたが、SHA-1証明書の受け入れ自体を2016年7月1日以降受け入れ拒否することを検討しています。

このように、大手のブラウザベンダーは揃ってSHA-1証明書の受け入れを半年程度前倒しして実施することを検討しています。

SHA256へ移行により影響を受ける環境とは

このように、SHA-1証明書を受け入れないという方向に大きく動いています。しかし、新しいSHA256証明書に対応できていないOS/ブラウザ環境があることもまた事実です。対応していないOS/ブラウザではSHA256証明書を使ったサイトは閲覧することができません。

PCのOS・ブラウザについて見てみると、WindowsではWindowsXP+SP3とWindows Server 2003 (SP2 + Hotfix KB2868626) 以降とIE6以降の組み合わせ、Macでは、Mac OS X 10.5以降とSafari3以降の組み合わせ。OSに依存しないブラウザでは、Google Chrome1.0以降、Mozilla Firefox 3.02以降がSHA256証明書に対応しています。

スマートフォンOSではApple iOS 3.0以降、Google Android 2.3以降が対象となります。
詳しくはサポートページ「SHA256 SSLサーバ証明書の対応について」をご覧ください。

忘れがちなのがフィーチャーフォン(ガラケー)の存在です。今でも一定のユーザが存在している携帯電話/PHSの対応状況はどうでしょうか。 携帯電話に関してはおおよその対応状況となりますが、NTTドコモであれば2009年11月以降、SoftBankでは2010年1月以降、auは2009年2月以降の携帯電話ブラウザがSHA256証明書に対応しています。

詳しい対応状況については以下の携帯キャリアのサイトをご確認下さい。

NTTドコモ
KDDI(au)
SoftBank

SHA256証明書が利用可能な環境一覧

  OS ブラウザ
PC Microsoft Windows XP SP3以降
Microsoft Windows Server 2003(SP + Hotfix KB2868626)以降
Apple Mac OS X 10.5以降
Microsoft Internet Explorer 6(Windows XP SP3)以降
Google Chrome 1.0以降
Mozilla Firefox 3.02以降
Netscape Navigator 7.1以降
Opera Software Opera 9.5以降
Apple Safari 3(Mac OS X 10.5)以降
スマートフォン Apple iOS 3.0以降
Google Android 2.3以降
RIM BlackBerry 5.0以降
-
携帯電話
(フィーチャーフォン)
NTTドコモ:2009年11月以降
Softbank:2010年1月以降
KDDI(au):2009年2月以降
-

こうしてみてみると、発売後6〜7年より新しい携帯電話であればSHA256に対応しているブラウザを搭載しているとも言えますので、それほど心配する必要は無いのかもしれません。

証明書の切り替え猶予は半年と考えて、早めの対応を!

このように、SHA-1を使用した証明書の切り替えを2016年12月31日までに済ませれば良い、という認識では間に合わないかもしれません。もしもあなたのサイトがSHA-1証明書を使用しているのであれば、できるだけ早い対応が望まれます。 また、ご利用中のサーバなどの機器によってはSHA256の証明書の利用ができないこともあります。機器の入れ替えから必要な場合、証明書のみの入れ替えとは異なり、更に時間がかかることが予想されます。

今一度、利用されているサイト証明書を確認していただき、必要であればできるだけ早急に証明書の切り替えを行うことをおすすめします。

このエントリーをはてなブックマークに追加

著者

グローバルサインブログ編集部

GMOグローバルサイン マーケティング部

当ブログの運営・管理を担当。いわゆる「なかのひと」。マーケティング部所属。当社ウェブサイト運営含めいろんなことをやっております。

公式SNS フォローはこちら

RSSフィード

Facebook

Twitter

Youtube

グローバルサイン最新情報をお届け

グローバルサインライブラリー

グローバルサインのSSLサーバ証明書により運営者情報が認証されています。

SSLはグローバルサイン - © 2007-2016 GMO GlobalSign K.K. All rights reserved.