本家いなてい

本家いなてい

日本ブログ村の政治ブログ・民進党(旧民主党・旧維新の党)で常時1位の誉れ高いブログ(なおエントリー数は2ブログ)

ついに SSL SHA-1 の Chrome八分が現実的な影響を・・・

f:id:inatei:20170406230820j:plain

 

下書きのままになってたので、公開します:

 

Google ChromeSSL SHA-1 プロトコル排除の影響が、地味~に出てきているようです。

 

 

SSL 証明書というのは WEB ページが改竄や盗み見を(ほぼ)されていないことを保証するカギみたいなものですが、コンピューターの性能の急激な上昇の結果「今までの SHA-1 方式が破られるのは時間の問題」と言われていました(だいたい2015年頃から)。

 

それが今年になって実際に突破実験が成功し、さらには各社 WEB ブラウザで SHA-1 を排除する動きも出てきています。

 

 

www.itmedia.co.jp

 

 Webブラウザのセキュリティ対策など幅広い用途に使われてきたハッシュアルゴリズムの「SHA-1」について、米Googleは2月23日、理論上の可能性が指摘されていたSHA-1衝突を初めて成功させたと発表した。これでSHA-256やSHA-3のような、安全な暗号ハッシュへの移行を急ぐ必要性がこれまで以上に高まったと強調している。

 

 

www.itmedia.co.jp

 

 米Googleは以前から危険性が指摘されているハッシュアルゴリズムの「SHA-1」について、2017年1月末に安定版がリリース予定のWebブラウザ「Chrome 56」でSHA-1を使った証明書のサポートを完全に打ち切ると発表した。

 

 

internet.watch.impress.co.jp

 

 Appleは24日、SafariWebKitにおけるSHA-1を用いたTLS証明書のサポートを今春のセキュリティアップデートを最後に終了することを、開発者向けのサポートドキュメントで明らかにした。

 

 

問題は、社外向けのサーバーの管理者でもこの情報を持っていないケースが少なからず存在し、今週に入ってからの Chrome アップデートの結果「このサイトは信用できないよ!」と警告される状態に陥っているサーバーが散見される点です。

 

誰も知らないうちに、その会社の信頼が失墜しかねませんからね。

 

そういう事もあるので、心当たりのある方は至急 SHA256 の証明書を手配してくださればと思います。内部で便宜上SSLを使っている場合は、OpenSSL で適当に SHA256 でオレオレ証明書こさえれば大丈夫です。

 

 

さて SSL 周りですが、最近もう1つ事件がありました。

 

japan.cnet.com

 

 Googleの「Chrome」チームは、Symantecが発行しているTransport Layer Security(TLS)証明書に対する信頼度を弱めることを提案した。

 

Symantecが行っていたSSLサーバ証明書発行上の問題とは、google.comなどのドメインを対象にドメイン所有者の許諾を得ずに勝手にEV証明書の発行を行っていたというものとなる。Symantecは、この問題が発覚した後、2015年10月に不正行為に関与していた複数の従業員を解雇する処分を実施していた。

 

当初、この問題は、Symantecが対応を行うことで解決されたものと考えられていたが、今回、Googleが改めて、Chrome上でSymantecが発行した3万件にも及ぶEV証明書の認識を取り消す措置を講じたことから、Symantecによる対応は不完全だったことが明らかとなったことになる。

 

 

 

以前 Symantec の子会社が Google 社の証明書を勝手にこさえて流出させたらしく、しかもその対策がまともになされていなかった模様。

 

それで Google がブチ切れ、Symantec の証明書に有効期限等の制約をかけようとしているらしいです。

 

これに対する Symantec の言い分は、「誤って発行した証明書は127枚だけで、Google のいうような 3万枚なんて枚数じゃあないぜ!」(意訳)だそうです。いや枚数の問題じゃなくてさあ・・・

 

これは管理者向けのメールにのみ記載、公式ページには出ていないようなので引用は差し控えときます。