アルファSSLからのニュースや重要なお知らせをしています。
GoogleがSHA-1証明書を利用するサイトに警告を表示 2014.9.19
拝啓、時下ますますご清栄のこととお慶び申し上げます。
また、日頃は弊社サービスをご利用くださり誠にありがとうございます。
表題の件に関しまして、まずは、現状と最新状況をお知らせさせていただく為、ご案内させていただきます。 以下の内容をご一読いただき、今後の対応にお役立ていただけますよう、お願い致します。
アルファSSLでは、以前より、SHA-2(SHA256)電子証明書への移行についてのご案内をさせていただいておりますが、最近Googleが、SHA-1 SSL証明書のインストールされたウェブサイトへアクセスしたユーザに、証明書の有効性が低いと表示する、という新たなポリシーを発表したことにより、アルゴリズムの移行を速やかに行うことがより重要性を増してきました。
【アルファSSL SHA-2(SHA256)電子証明書への移行について】
https://www.toritonssl.com/info/2014/2014_03_18.html
Googleの動きは、より安全なセキュリティレベルへの移行を促進するポジティブな一歩と言えますが、これはSSL証明書をご利用いただいている皆様にとって何を意味することになるのでしょうか?
【2014年9月5日付 Googleオンラインセキュリティブログ: Gradually sunsetting SHA-1】
http://googleonlinesecurity.blogspot.jp/2014/09/gradually-sunsetting-sha-1.html
Googleは、2017年1月1日以降の有効期間を持つSHA-1証明書は、2014年11月までに証明書のハッシュアルゴリズムをSHA-2(SHA256)にアップグレードしておかないと、ウェブサイトにアクセスしたユーザには証明書の有効性が低いというマークが表示されることになります。
Googleは、影響を受けると思われるベンダー・ソフトウェア会社・企業・サイト運営者等からのフィードバックを継続的に受け付けることを明言しています。
どんなフィードバックが寄せられているかは、Google groupに参加すれば参照することができます。
詳細な内容に関しましては、アルファSSLのルート認証局であるグローバルサインがブログで解説しておりますので、そちらも合わせてご覧いただけますようお願い致します。
===========================================
【GoogleがSHA-1証明書を利用するサイトに警告を表示】
https://jp.globalsign.com/blog/2014/google_warnings_sha1.html
===========================================
現在2017年1月1日以降に有効期限の切れるSHA-1 SSL証明書をご利用中の場合、SSL証明書の安全性を維持していくために下記のアクションをとっていただくことが必要です。
早い時期に、SHA-2(SHA256)にて証明書を再発行・再設定してください。
Google Chrome39がリリースされましても、ウェブサイトにアクセスしたユーザが証明書の有効性が低い旨の表示に遭遇することを回避できます。アルファSSLは無償でご利用中の証明書をSHA-2(SHA256)に再発行でアップグレード可能です。
お客様のアプリケーションがSHA-2(SHA256)未対応の場合には、できる限り早期にアップグレードいただくことを強く推奨いたします。対応環境一覧はこちらから参照できます。
[openssl-announce] Forthcoming OpenSSL releases
OpenSSLのセキュリティアップデートが公開へ(ZDNet Japan記事)