2014 年 09 月 24 日
SHA-1 証明書の受付終了と SHA-2 証明書への移行について
本ページでは、署名アルゴリズムを SHA-1 とする SSL/TLS サーバー証明書(以下、SHA-1 証明書)の受付終了と、署名アルゴリズムを SHA-2 とする SSL/TLS サーバー証明書(以下、SHA-2 証明書)への移行についてご案内します。
SHA についての詳しい内容は BLOG 記事 SHA について をご覧ください。
SHA-1 証明書に関する指針について
「SHA-1」の SSL/TLS サーバー証明書に関するブラウザベンダや業界団体 (CA/Browser Forum (以下、CABF とします。))の指針は以下です。
※ SHA-1 の中間 CA 証明書も下記指針の対象です。
※ 2014 年 9 月 24 日時点の情報に基づく内容です。
CABF の指針
SSL サーバー証明書の仕様や審査基準などに関する指針「Baseline Requirements」において、以下を表明しています。
- 2015 年 1 月 16 日以降、満了日が 2017 年 1 月 1 日を超える SHA-1 証明書の発行を行うべきではない(SHOULD NOT)
- 2016 年 1 月 1 日以降、 SHA-1 証明書を発行してはならない(MUST NOT)
影響について
1. SHA-1 証明書の受付終了と最長有効期間の変更
サイバートラストは、SHA-1 証明書である「SureServer EV[2048bit]」と「SureServer[2048bit]」の申請受付を以下のように終了いたします。
| 商品名 | 対象 | 申請受付終了日 |
|---|---|---|
| SureServer[2048bit] | 2 年~5 年 / 3 年割 / 1 年(乗換用) | 2015 年 2 月 7 日 |
| 6 ヶ月 / 1 年 | 2015 年 12 月 25 日 18 時 | |
| SureServer EV[2048bit] | 2 年 / 2 年割 / 1 年(乗換用) | 2015 年 2 月 7 日 |
| 1 年 | 2015 年 12 月 25 日 18 時 |
また、以下のように 2015 年 2 月 7 日以降に発行する SHA-1 証明書( SureServer[2048bit]、 SureServer EV[2048bit])の最長有効期間を「2016 年 12 月 31 日」までに変更いたします。
| 商品名 | 対象 | 最長有効期間 |
|---|---|---|
| SureServer[2048bit] | 6 ヶ月~ 1 年 | 2016 年 12 月 31 日 |
| SureServer EV[2048bit] | 1 年 | 2016 年 12 月 31 日 |
2. SHA-1 証明書から SHA-2 証明書への移行
■ SHA-1 証明書をご利用中の場合
対象商品: SureServer EV[2048bit]、SureServer[2048bit](MD、forクラウドを含む)
■ SHA-2 証明書移行の目安
SHA-1 証明書のご利用時期や有効期間に応じて、Windows の SSL 通信拒否や Chrome と Firefox における表示変更が行われるため、以下の日付を超えないように SHA-2 証明書へ移行することを強く推奨します。
■ SHA-2 証明書をご利用中の場合
対象商品: SureServer EV[SHA-2]、SureServer[SHA-2](MD、forクラウドを含む)
SHA-1 証明書に関する指針の影響は受けません。引き続き、SHA-2 証明書をご利用ください。
※ SHA-1 証明書用の中間CA証明書を設定済みの場合、SHA-2 用の中間 CA 証明書に入れ替える必要があります。
3. PC ブラウザ・モバイル・サーバー対応について
現行のガラケーと呼ばれる携帯電話の多くが SHA-2 証明書に非対応となります。携帯電話のご利用状況を考慮のうえ、随時 SHA-2 証明書へ移行してください。
FAQ
Q. SHA-1、SHA-2 とは何ですか?
A. SHA-1、SHA-2 は、SSL/TLS サーバー証明書で使用される署名アルゴリズムに利用されているハッシュ関数で、数字が上がるほど安全性が高まります。署名アルゴリズムは、インターネット通信の途中で、悪意を持った第三者に SSL/TLS サーバー証明書が偽造(改ざん)されることを防止(検知)するために使われます。
Q. SHA-1 証明書を使用し続けることは可能ですか?
A. いいえ、できません。
SHA-1 証明書である SureServer EV[2048bit]、SureServer[2048bit](MD、forクラウドを含む)は 2015 年 12 月下旬に受付を終了します。また、SHA-1 証明書が有効期間内であっても、Windows 製品では 2017 年以降に SSL/TLS 通信を拒否され、Chrome、Firefox をご利用の場合は有効期間に応じて警告やエラー表示となります。
Q. SHA-2 非対応の機器へインストールを行った場合、どのようになりますか?
A. 証明書のインストール時にエラーが発生したり、サーバーを起動できなくなります。
Q. SHA-2 非対応のブラウザや携帯電話(ガラケー)から接続した場合、どのようになりますか?
A. 以下のような SSL/TLS 接続エラーとなりコンテンツを表示できません。
例1 Internet Explorer(Windows XP SP2)
例2 Chrome (Windows XP SP2)
例3 携帯電話(ガラケー)
Q. 公開鍵長 1024bit から 2048bit への移行時のように、サーバーの設定で対応率の低下を回避する方法はありますか?
A. いいえ、ありません。携帯電話がハッシュ関数「SHA-2」を扱えるか否かによるため、サーバーの設定では対応率をあげることはできません。
Q. 他社でも SHA-1 証明書を発行できなくなりますか?
A. はい、本指針に従う場合は他社でも発行できなくなります。
Q. SHA-2 証明書へ移行する際、中間 CA 証明書の変更も必要ですか?
A. はい、必要です。SHA-2 証明書に必要な中間 CA 証明書が異なり、また SHA-1 証明書に関する指針は中間 CA 証明書も対象となるため、サーバー証明書と一緒に SHA-2 用の中間 CA 証明書の設定も必要です。
Q. PC ブラウザや携帯電話から接続可能な SHA-2 証明書の接続テストサイトはありますか?
A. はい、あります。以下をご利用ください。
◆SureServer [SHA-2]: https://sha2g3.cybertrust.ne.jp/
◆SureServer EV[SHA-2]: https://evsha2.cybertrust.ne.jp/
PC ブラウザや携帯電話が SHA-2 証明書に対応している場合、右記の確認画面が鍵マーク付で表示されます。対応していない場合は、確認画面は表示されずにエラーやセキュリティ警告が表示されます。
