SSLサーバー証明書でSHA1を使用するうえでの注意

SSLを導入されているサイトは多いと思います。ショッピングサイトや申込みフォーム、問い合わせフォームなど、大切な個人情報を保護するのと同様に、サイトの信頼性を高めるためにSSLは必須です。


知っている人も多いと思いますが、SSLに使われている改ざん検知の署名アルゴリズムには、SHA1とSHA2の2種類が存在します。


以前ならSHA1でも問題なかったのですが、最近ではコンピューターの計算能力が飛躍的に向上したのでSHA1ではその安全性が危ぶまれるようになってきました。


そしてとうとう、GoogleとMicrosoftがSHA1証明書でのSSL通信を拒否するという方針を発表しました。どんな影響があるかというと、2017年1月1日以降、SSLサーバー証明書の発行元に関わらず、 Windows製品でSHA-1証明書のSSL通信が拒否されるようになります。


まだ2014年の11月現在からすると、まだ2年近くもあるじゃないかと思うかもしれません。


でも、それだけではないのがやっかいなところです。


まず、ブラウザのChromeが11月にリリースされるChrome 39から段階的にSHA1のサポートを廃止するようです。まず、SHA1が導入されたページに対して、セキュアだがマイナーなエラーあり」と認識することによって、URL欄に表示されるHTTPSの鍵のアイコンに黄色い三角マークが付くようになるようです。


その次のリリースのChrome 40では、2016年6月1日から12月31日までの間に失効する証明書でSHA-1を使っているページに対して同じ措置がとられるそうです。SHA1のサポートが完全に切れる2017年1月1日以降が有効期限となっている証明書でSHA-1を使っていると、安全性が欠如しているということで鍵アイコンが表示されなくなってしまうようです。


Chromeだけでなく、Firefoxでも2015年の早期から、警告が表示されるようになるようです。一部のブラウザだけが対象とみるには、少し心配ですね。


これをユーザーが見たらどう思うでしょうか?


「本当に大丈夫なのだろうか?」と思ってしまうかもしれませんね。特に個人情報やクレジットカードを入力するようなページで鍵マークが正しく表示されていないと、私ならすぐにページを閉じます。


ビジネスの目で見ると、お客さんを失ってしまいますよね。


これは早急に対応したほうが良いかもしれません。


SSLサーバー証明書の発行元で移行のための案内が出ていますので、確認されてみてはいかがでしょうか?


参考までにリンクを張っておきますね。

ジオトラスト:
https://www.geotrust.co.jp/products/sha2-migration.html

グローバルサイン:
https://jp.globalsign.com/sha256/proceeding/