EINS/PKI+パブリックWebサーバ証明書 [SHA-2] 開始について
EINS/PKI+ では、2014年12月26日より、ハッシュ関数アルゴリズム「SHA-2(シャーツー)」に対応したパブリックWebサーバ証明書の申請受付を開始しました。
また、現在提供しているハッシュ関数アルゴリズム「SHA-1(シャーワン)」のパブリックWebサーバ証明書の申請受付を2015年12月に終了しました。
※SHA-2とは任意長の原文から固定長の特徴的な値である「ハッシュ値」を求める計算手順(アルゴリズム)の標準規格の一つです。SHA-2のハッシュ値の長さは224ビット、256ビット、384ビット、512ビットであり、SHA-1の160ビットに比べ、セキュリティ強度が高いと言えます。
市場の動向について
CA/Browser Forumや主要ブラウザベンダは、2017年1月以降SHA-1証明書を受け入れない計画を発表しております。
※CA/Browser Forumとは、主要認証局とブラウザベンダからなる任意団体で、電子証明書を使用した通信の安全性や利便性を向上させるためのガイドラインを制定しています。
各ブラウザベンダのSHA-1対応スケジュール
1-1 CA/Browser Forum
発表 2014年10月
概要 2015年1月16日以降に発行する証明書は、2017年1月1日以降の有効期限としてはならない。
- 2016年1月1日以降 SHA-1証明書発行停止
- 2017年1月1日以降 SHA-1証明書利用停止
- 2015年1月16日以降に発行する証明書は2016年12月31日までの期限とする
1-2 Microsoft社
発表 2013年11月
マイクロソフトセキュリティアドバイザリ 2880823
『マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止』
https://technet.microsoft.com/ja-jp/library/security/2880823.aspx
概要 2017年1月以降、Windows環境で「SHA-1証明書」は受け入れない。
発表 2016年4月
Microsoft TechNet
Windows Enforcement of SHA1 Certificates
http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-sha1-certificates.aspx
概要 Windows 10 Anniversary Update 以降、Microsoft Edge と Internet ExploreではSHA-1 証明書で保護された Web サイトを信頼から除外し、これらのサイトのアドレスバーから鍵アイコンを外す。また、2017年 2月14日以降は警告ページを表示する。
※Windows 10 上の Microsoft Edge と Windows 7、Windows 8.1 および Windows 10 上の Internet Explorer 11 が対象。
1-3 Google社
発表 2013年9月
Online Security Blog(Gradually sunsetting SHA-1)
http://googleonlinesecurity.blogspot.jp/2014/09/gradually-sunsetting-sha-1.html
概要 Chrome version 39以降において、2017年1月以降も有効な「SHA-1証明書」が導入されたウェブサイトからのアクセスに対し、警告を表示する。
発表 2015年12月
Online Security Blog(Gradually sunsetting SHA-1)
https://security.googleblog.com/2015/12/an-update-on-sha-1-certificates-in.html
概要
Step1 2016年1月1日以降に発行された「SHA-1証明書」が導入されたウェブサイトからのアクセスに対し、警告を表示する。
Step2 遅くとも2017年1月1日以降、「SHA-1証明書」が導入されたウェブサイトからのアクセスを完全にブロックする。
発表 2016年11月
OOnline Security Blog(SHA-1 Certificates in Chrome)
https://security.googleblog.com/2016/11/sha-1-certificates-in-chrome.html
概要 2017年1月下旬にリリース予定のChrome56では「SHA-1証明書」はサポートしない。
1-4 Mozilla
発表 2014年9月
Mozilla Security Blog(Phasing Out Certificates with SHA-1 based Signature Algorithms)
https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/
概要 2015年初頭にリリースされるFirefoxの最新バージョンにおいて、以下の条件の「SHA-1証明書」が導入されたウェブサイトからのアクセスに対し、警告を表示する。
- 2017年1月以降も有効なSHA-1証明書が導入されたウェブサイト
- 2016年1月1日以降に新たに発行されるSHA-1証明書が導入されたウェブサイト
発表 2015年10月
Mozilla Security Blog(Continuing to Phase Out SHA-1 Certificates)
https://blog.mozilla.org/security/2015/10/20/continuing-to-phase-out-sha-1-certificates/
概要
「SHA-1証明書」が導入されたウェブサイトからのアクセスを拒否するタイミングを2016年 7月 1日に早めることを検討中。
発表 2016年10月
Mozilla Security Blog(Phasing Out SHA-1 on the Public Web)
https://blog.mozilla.org/security/2016/10/18/phasing-out-sha-1-on-the-public-web/
概要
2017年初頭から、「SHA-1証明書」が導入されたウェブサイトからのアクセスに対し、警告を表示する。
SHA-2証明書への移行スケジュール
| Webサーバ証明書(有効期間1年) | |
|---|---|
| 2014年12月26日 | SHA-2のWebサーバ証明書の申請受付を開始 |
| 2015年12月10日 | 証明書申請受付終了 |
| 2015年12月28日 | 最終証明書発行 |
| 2017年1月1日以降 | SHA-1のWebサーバ証明書の利用不可 |
| Webサーバ証明書(有効期間2年) | |
|---|---|
| 2014年12月25日 | SHA-1のWebサーバ証明書の申請受付を終了 |
| 2014年12月26日 | SHA-2のWebサーバ証明書の申請受付を開始 |
| 2017年1月1日以降 | SHA-1のWebサーバ証明書の利用不可 |
SHA-2証明書の申請について
3-1 有効期間1年の証明書をご利用のお客さま
2014年12月26日~2015年12月末までの申請
証明書発行申請画面にて「SHA-1証明書」または「SHA-2証明書」をご選択いただけます。ご希望のメニューをご選択ください。
※申請手続きは「SHA-1証明書」と同様の手順です。
2016年1月以降の申請
「SHA-2証明書」のみの発行となります
3-2 有効期間2年の証明書をご利用のお客さま
2014年12月26日以降の申請
「SHA-2証明書」のみの発行となります
※申請手続きは「SHA-1証明書」と同様の手順です。
お客さまへの影響
新しい中間認証局証明書のインストール
新しい中間認証局証明書をWebサーバにインストールする必要がございます。
SHA-2証明書のサポート対象について
「SHA-1証明書」と「SHA-2証明書」では、サポート対象機器が異なります。特に、携帯電話のほとんどが「SHA-2証明書」に非対応となりますのでご注意ください。
対応Webサーバおよび推奨ブラウザ
| Webサーバ | ・Apache(OpenSSL) 1.3 / 2.0 / 2.2 系
・Microsoft IIS 6.0 / 7.0 / 7.5 / 8.0 / 8.5 系 ・Tomcat 6.0 系 以降 |
|
|---|---|---|
| 推奨ブラウザ | ・Microsoft Internet Explorer8 以上(WindwosXP SP3以降となりますが、ルート証明書を自動更新された場合は、IE6,IE7でもご利用可能です。)
・Opera9.5 以上(IEと同様 Windows XP SP3以降となります) ・Google Chrome(IEと同様 Windows XP SP3以降となります) ・Firefox12.0 以上 ・Mac OS X 10.6.7 以上 |
|
携帯電話からのSSL接続対応機種一覧
2008年8月以降に発売された機種に順次対応しております。
(キャリアによって対応時期が大きく異なり、対応機種が限定されますのでご注意ください)
※ 対応詳細はこちらをご覧下さい。
ブラウザ・端末用のSHA-2証明書対応確認サイトについて
お手元のブラウザ・端末がSHA-2証明書に対応しているかどうかにつきましては、こちらのサイトにアクセスして確認をお願いします。
検証サイト
https://scrootca2test.secomtrust.net/
※問題ない場合は Success と表示されます。
トライアルWebサーバ証明書(SHA-2)の申請
トライアルWebサーバ証明書(SHA-2)の申請は以下のページから発行できます。
EINS/PKI+事務局では、パブリックWebサーバ証明書本申請前に動作確認することを強く推奨いたします。
証明書(SHA-2) 申請
SHA-2証明書の価格について
ライセンス体系、価格については変更ございません。(2016年11月現在)
価格についてはこちらをご参照ください。
FAQ ~よくある質問~
- SHA-1証明書とSHA-2証明書は何が違うのですか?
- 情報が改ざんされていないことを検証するため等に用いられるハッシュ関数アルゴリズムで使用されるハッシュ値が異なります。
【EINS/PKI+認証局が発行する証明書】- SHA-1証明書で使用するハッシュ値 : 160ビット
- SHA-2証明書で使用するハッシュ値 : 256ビット
ハッシュ関数にて算出されるハッシュ値が大きいほど、改ざんなどのリスクに対するセキュリティ強度が高いと言えます。 - なぜSHA-2証明書を使用しなければならないのですか?
- ハッシュ関数アルコリズムSHA-1の安全性低下に伴い、近年ブラウザベンダーは、SHA-2証明書への移行を促す目的で、SHA-1証明書の使用期限設定や、利用時のエラー表示などの対策を発表しています。
このような背景に対応し、EINS/PKI+認証局はSHA-1証明書の提供を順次終了し、SHA-2証明書の提供を開始します。 - 現在使用中のSHA-1証明書は、ただちにSHA-2証明書に切り替える必要がありますか?
- 2017年1月1日以降はSHA-1証明書が利用できなくなる、というのが各ブラウザベンダーの動向です。それまではSHA-1証明書をご利用いただけますので、ただちにSHA-2証明書に切り替える必要はありません。
お使いのSHA-1証明書の有効期限を確認し、2016年12月中旬にはSHA-1証明書からSHA-2証明書への切り替えが完了するよう十分な余裕をもって今後のスケジュールをご検討ください。 - EEINS/PKI+ for EDI証明書はSHA-2に移行する予定はありますか?
- EINS/PKI+ for EDI証明書 SHA-2移行についてはこちらをご確認ください。
お問い合わせ窓口
本件に関してご不明な点等ございましたら、下記窓口までお問合せください。
