SHA-1からSHA-2への移行

コードサイニング証明書に関して

Windows 7 / Windows Server 2008 R2 が SHA-2 に対応

2015年3月10日、Windows 7 / Windows Server 2008 R2 において、SHA-2 コードサイニング証明書をサポートするという Windows Update が公開されました。
2014年10月14日に類似したアップデートが公開されていましたが、問題点が発覚したために、Microsoft Download Centerから削除されていました。
今回の新しいアップデートにより、Windows 7 / Windows Server 2008 R2 において、SHA-2コードサイニング証明書の検証を行う、SHA-2 でコード署名されたドライバを実行することが可能になります。
Windows Vista / Windows Server 2008 以前のプラットフォームは当該アップデートの対象外であり、SHA-2 証明書により署名されたカーネルドライバは、引き続きサポートされません。

SHA-1 コードサイニング証明書の発行が継続可能

SHA-1 コードサイニング証明書につきましては、Windows Vista / Windows Server 2008 以前のプラットフォームで検証、実行が可能なコード署名済みドライバを提供するために、2016年1月1日以降もSHA-1 コードサイニング証明書を発行し続けます。

しかしながら、SHA-1 はもはや安全とみなすことはできず、攻撃の影響を受けやすいことから、Windows 7 / Windows Server 2008 R2以降のプラットフォームは、2016年1月1日以降SHA-1 コードサイニング証明書の受け入れを停止いたします。
SHA-1 コードサイニング証明書は古いプラットフォームに限定して利用されることをおすすめいたします。

開発者は、対象のプラットフォームによって、SHA-1 と SHA-2 のコードサイニング証明書の両方を使い分ける必要があります。

SHA-1証明書の発行・再発行に関する弊社の対応予定

証明書の有効期限が2016年1月1日以降の場合でも、再発行・更新とも、引き続きWindows Vista / Windows Server 2008 以前のプラットフォームのみSHA-1証明書をご利用いただくことが可能でございます。

プラットフォーム別 署名ハッシュアルゴリズム対応一覧表


2015年12月31日以前 2016年1月1日以降

SHA-1 SHA-2 SHA-1 SHA-2
ユーザアプリケーション向け
Windows XP SP 3 ~ Windows 8 ×
カーネルドライバ向け
Windows XP SP 3 × ×
Windows Vista × ×
Windows 7 ×
Windows 8 ×
Windows Server 2008 × ×
Windows Server 2008 R2 ×
Windows Server 2012 ×

よくある質問

Q. MS Authenticode対応コードサイニング証明書において、SHA-1で署名した場合、検証できなくなってしまうのでしょうか?
2016年1月1日以前にタイムスタンプ付きで署名されたコードは、Windows Server 2008 の延長サポートが終了する2020年1月14日までは検証可能です。
※Microsoft社がSHA-1の受け入れを中止すべきと判断した場合は、この期限は早まる可能性があります。
Q. MS Authenticode対応コードサイニング証明書において、カーネルモード署名でもSHA-2証明書で署名できますか。
2015年4月現在、Windows 7 / Windows Server 2008 R2以降において、SHA-2証明書におけるカーネルモード署名がサポートされております。
Windows Vista / Windows Server 2008以前には非対応のため、SHA-1証明書での署名が必要となります。
Q. SHA256 コードサイニング証明書の対応環境について教えてください。
現在以下の環境で対応可能となっております。(2014年12月調査。各開発元の資料に基づいております)
・Microsoft Windows XP SP3 以降 (Authenticode) ※
・Windows 7 / Windows Server 2008 R2以降(kernel mode)
・Microsoft Office 2010 (Hotfix KB2598139) 以降 (MS Office VBA)
・Oracle Java 1.7.0 以降、1.6.0_17 以降、1.5.0_22 以降、1.4.2_19 以降 (Object Signing)

※Windows Vistaは、修正プログラム(Hotfix KB2763674)が必要です。ファイルダイジェストにSHA256を指定する場合はWindows 8 以降から対応しております。
Q. ハッシュ関数の違いにより証明書の設定方法に違いはあるのでしょうか?
設定方法に違いはありませんが、設定に利用するルート証明書、中間証明書が異なります。ご利用の証明書に対応するルート証明書、中間証明書を使用するようご注意ください。
SHA256用中間証明書は、リポジトリ・利用約款のページにある「ルート証明書/中間CA証明書」からダウンロードすることも可能です。
ルート証明書/中間CA証明書
Q. SHA-2に環境が対応していないので、SHA-1の証明書を引き続き利用(発行)することは可能でしょうか?
プラットフォームがWindows 7 / Windows Server 2008 R2以降においては、2016年1月1日以降にSHA-1 コードサイニング証明書を利用することはできません。詳細はMicrosoft社から発表された下記[SHA-1 廃止ポリシー]をご参照ください。

[SHA-1 廃止ポリシー]

  1. 認証局は2016年1月1日までに新たなSHA-1 SSLサーバ証明書の発行をやめなければならない
  2. SSLサーバ証明書については、Windowsは2017年1月1日までにSHA-1証明書の受け入れを中止する。
  3. コードサイニング証明書については、Windows 7 / Windows Server 2008 R2以降において、2016年1月1日以降にSHA-1によって署名されたコードの受け入れを中止する。

※上記は弊社による部分訳です。詳細は以下の関連リンクをご確認ください。
FAQ: SHA-1 廃止/SHA-2 移行に関するマイクロソフトのポリシー
SHA1 Deprecation Policy

03-6370-6500 お気軽にお問い合わせください

音声ガイダンスが流れましたら、お問合わせの内容により以下の番号をプッシュしてください。

  1. 証明書のお申し込み、更新及びパスワードのお問い合わせ
  2. インストールなどの技術的なお問い合わせ
  3. 審査及び進捗確認に関するお問い合わせ
  4. その他のお問い合わせ(4を押した上で、以下の番号をお選びください。)
  5. お支払い、経理書類に関するお問い合わせ
  6. パートナー契約に関するお問い合わせ
  7. 総務へのご連絡

お問い合わせはこちら

グローバルサインライブラリー

グローバルサインのSSLサーバ証明書により運営者情報が認証されています。

SSLはグローバルサイン - © 2007-2016 GMO GlobalSign K.K. All rights reserved.