SHA-1証明書の受付終了と
SHA-2証明書への移行について
2014年11月19日公開
サイバートラスト様のページと内容に齟齬がある場合は、サイバートラスト様側のページ内容が最新となります。
サイバートラスト様のページはこちら
本ページでは、署名アルゴリズムを「SHA-1」とするSSLサーバー証明書(以下、SHA-1証明書とします。)の受付終了と、署名アルゴリズムを「SHA-2」とするSSLサーバー証明書(以下、SHA-2証明書とします。)への移行についてご案内します。
SHA-1証明書に関する指針について
「SHA-1」のSSLサーバー証明書に関するブラウザベンダや業界団体(CA/Browser Forum(以下、CABFとします。))の指針は以下です。
※SHA-1の中間CA証明書も下記指針の対象です。
※2014年9月24日時点の情報に基づく内容のため、今後変更される可能性がございます。あらかじめご了承ください。
1. Microsoft社の指針
a.概要
Microsoft社は2013年11月に発表した「Windows Root Certificate Program - Technical Requirements version 2.0」において、SHA-1証明書に関する下記の指針を表明しました。
- ・認証局は、2016年1月1日までに新しいSHA1 SSLおよびコード署名証明書の発行を停止しなければならない。
- ・Windowsは2017年1月1日でSHA1証明書でのSSL通信を拒否する。
b.影響
SSLサーバー証明書を発行する認証局は上記指針に従い、2015年12月31日までにSHA-1証明書の発行を停止する必要があります。
また、2017年1月1日以降、SSLサーバー証明書の発行元に関わらず、 Windows製品でSHA-1証明書のSSL通信が拒否されます。
2. Googleの指針
a.概要
Googleは2014年9月にChromium Blogにて発表した「Gradually Sunsetting SHA-1」において、SHA-1証明書が使用されているWEBサイトへのSSL接続において、これからリリース予定のChrome39 ~ 41で段階的にアドレスバーの表示を変化させることを表明しました。
b.影響
Chrome39(2014年11月18日リリース済み)
Chrome40(2015年1月21日リリース済み)
Chrome41(2015年3月頃リリース予定)
Chrome39~41 共通
3. Mozillaの指針
a.概要
Mozillaは2014年9月にMozilla Security Blogにて発表した「Phasing Out Certificates with SHA-1 based Signature Algorithms」において、SHA-1証明書の発行と利用の非推奨、およびSSL接続時の表示変更に関する以下の指針を表明しました。
b.影響
2015年初期にリリース予定のFirefox
2015年初期のリリース後に追加が計画されている動作
※2017年以降のある時点において、コンテンツを表示できない(エラーを無視できない)状況にする可能性有り
4. CABFの指針
a.概要
SSL サーバー証明書の仕様や審査基準などに関する指針「Baseline Requirements」において、以下を表明しています。
・2015年1月16日以降、満了日が2017年1月1日を超える SHA-1 証明書の発行を行うべきではない(SHOULD NOT)
・2016年1月1日以降、 SHA-1 証明書を発行してはならない(MUST NOT)
b.影響
SSL 通信時における動作に特段の影響はありません。
本指針の影響について
1. SHA-1証明書の受付終了
さくらインターネットでは、SHA-1証明書の新規発行受付を2014年11月19日をもって終了いたしました。 ※更新用のSHA-1証明書につきましては、2015年12月を目処に、申込受付を終了する予定です。
2. SHA-1証明書からSHA-2証明書への移行
SHA-1証明書からSHA-2証明書への移行の目安
SHA-1証明書のご利用時期や有効期間に応じて、WindowsのSSL通信拒否やChromeとFirefoxにおける表示変更が行われるため、 以下の日付を超えないようにSHA-2証明書へ移行することを強く推奨します。
SHA-2証明書をご利用中の場合
SHA-1証明書に関する指針の影響は受けません。引き続き、SHA-2証明書をご利用ください。
※SHA-1証明書用の中間CA証明書を設定済みの場合、SHA-2用の中間CA証明書に入れ替える必要があります。
PCブラウザ・モバイル・サーバー対応について
現行のガラケーと呼ばれる携帯電話の多くがSHA-2証明書に非対応となります。
携帯電話のご利用状況を考慮のうえ、随時SHA-2証明書へ移行してください。
SHA-2証明書の対応状況
SHA-1証明書からSHA-2証明書への移行の目安
SHA-2証明書の対応状況の詳細については、以下をご覧ください。
- サイバートラスト
- ・サーバー・クライアントカバレッジ
- シマンテック
- ・SHA-2各種プラットフォーム対応状況
FAQ
- Q. SHA-1、SHA-2とは何ですか?
- A. SHA-1、SHA-2は、SSLサーバー証明書で使用される署名アルゴリズムに利用されているハッシュ関数で、数字が上がるほど安 全性が高まります。署名アルゴリズムは、インターネット通信の途中で、悪意を持った第三者にSSLサーバー証明書が偽造(改ざん)されることを防止(検知)するために使われます。
- Q. SHA-1証明書を使用し続けることは可能ですか?
- A. いいえ、できません。
SHA-1証明書が有効期間内であっても、Windows製品では2017年以降にSSL通信を拒否され、Chrome、Firefoxをご利用の場合は有効期間に応じて警告やエラー表示となります
- Q. SHA-2非対応の機器へインストールを行った場合、どのようになりますか?
- A. 証明書のインストール時にエラーが発生したり、サーバを起動できなくなります。
- Q. SHA-2非対応のブラウザや携帯電話(ガラケー)から接続した場合、どのようになりますか?
- A. 以下のようなSSL接続エラーとなりコンテンツを表示できません。
- Q. 公開鍵長1024bitから2048bitへの移行時のように、サーバーの設定で対応率の低下を回避する方法はありますか?
- A. いいえ、ありません。
携帯電話がハッシュ関数「SHA-2」を扱えるか否かによるため、サーバーの設定では対応率をあげることはできません。
- Q. クライアント証明書やS/MIME証明書にも影響がありますか?
- A. いいえ、ありません。
- Q. Windows製品、Chrome、Firefox以外にも影響がありますか?
- A. 2014年10月6日時点におきましては上記以外の製品に対するSHA-1証明書に関する指針が表明されていないため、影響はないものと考えております。
しかし、各国政府機関やSSLサーバー証明書の業界団体では、「SHA-2」への移行、または移行を推進する動きが活発化されて いるため、今後同様の指針が発表された場合には他製品にも影響を及ぼす可能性があります。
- Q. SHA-2証明書へ移行する際、中間CA証明書の変更も必要ですか?
- A. はい、必要です。
SHA-2証明書に必要な中間CA証明書が異なり、またSHA-1証明書に関する指針は中間CA証明書も対象となるため、サーバー証 明書と一緒にSHA-2用の中間CA証明書の設定も必要です。
- Q. PCブラウザや携帯電話から接続可能なSHA-2証明書の接続テストサイトや、テスト証明書はありますか?
- A. はい、あります。以下をご利用ください。
シマンテック
・SHA-2検証サイト
セコム
・テスト証明書
その他のSSLサーバ証明書
 |
 |
 |
 |
 |
 |
| ヨーロッパで10年以上の実績を持つ老舗認証局。書類審査が不要な「クイック認証SSL」、書類審査による高い信頼性のある「企業認証SSL」の2つのプランからお選び頂けます。 | セキュリティブランドとして有名なセコムのSSLサーバ証明書は、信頼性と実用性を兼ね備えた、SSLサーバ証明書サービスです。 | 世界で最も実績のある第3者認証機関であるシマンテック・ウェブサイトセキュリティ社の提供するSSLサーバ証明書サービスです。 |
 |
|
|
| お問い合わせ | |
|---|---|
|
カスタマーセンター フリーコール 0120-977808(無料) 受付時間: 平日10:00~18:00 |
|
