ChromeのSHA-1証明書サポートに関する最新情報

SSL サーバー証明書で用いられている暗号化アルゴリズムSHA-1はセキュリティの脆弱性の存在が確認されていてSHA-2への移行が進んでいます。
そんななか、ChromeのSHA-1証明書サポートに関する最新情報がアナウンスされました。
"Google Online Security Blog: An update on SHA-1 certificates in Chrome"
Posted: Friday, December 18, 2015
https://googleonlinesecurity.blogspot.jp/2015/12/an-update-on-sha-1-certificates-in.html

概要:
Chromeはこれから1年以上かけて SHA-1証明書の対応を完全に終了します。
そのためにChromeは2段階に分けてSHA-1証明書の対応を変更します。

第1段階:新しく発行された SHA-1証明書をブロックします
2016年の1月にリリースされる Chrome 48から次の条件に一致した場合証明書エラーを表示します。

SHA-1で署名された証明書であること
2016年1月1日以降に発行された証明書であること
パブリック認証局にチェーンされていること

ただし、Baseline Requirements( https://cabforum.org/baseline-requirements-documents/ )では
  • 2015年1月16日以降、満了日が2017年1月1日を超えるSHA-1証明書の発行を行うべきではない(SHOULD NOT)
  • 2016年1月1日以降、SHA-1証明書を発行してはならない(MUST NOT)

となっていますので、基本的にこの証明書エラーは表示されないはずです。

第2段階:すべてのSHA-1証明書をブロックします
2017年1月1日より ChromeはすべてのSHA-1証明書のサポートを停止します。この時点より証明書チェーンのどこかにSHA-1証明書を使用したものがあれば重大なネットワークエラーとなります。
(ルート証明書の自己署名は除外されるそうです)


尚、Chrome 48より TLSのRC4暗号のサポートも停止します。

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント

この記事へのトラックバック