WindowsでSHA-1証明書が利用できなくなる???

はじめまして。本日よりライターの一員となったTakuyaです。
軽く自己紹介させていただくと、インフラエンジニアをやっております。
特にWindows系を得意としています。

得意分野ということで、ブログ最初の記事は”Windows”に関連したものを記載したいと思います。

皆様は近い将来、ある証明書がWindowsで利用できなくなることをご存知でしょうか?
そうです。記事のタイトルにもある通り、SHA-1アルゴリズムを使用している証明書が利用できなくなります。
Windowsのバグ等ではなく、SHA-1アルゴリズムの安全性の低下に伴い、利用廃止となります。
マイクロソフトによると、利用廃止となる時期は2017年1月1日以降とされています。
※利用廃止日を前倒しするという情報もあります。今後のマイクロソフトの情報に注目ですね。

では、SHA-1証明書が利用できなくなることによって、我々にどんな影響がでるのでしょうか?

影響その1
SHA-1証明書を利用しているWebサイトにアクセスできなくなります。
SHA-1証明\"null\"書を利用しているWebサイトへアクセスする際、WindowsがSHA-1証明書を信頼されていない証明書とみなします。
その結果、Webサイトへのアクセスがエラーとなります。

影響その2
SHA-1証明書を利用しているFTPサイトにアクセスできなくなります。
アクセスできなくなる理由はWebアクセス同様です。

システム管理者はこういった影響を事前に防ぐために、SHA-1証明書利用廃止日までに何らかの対策が必要となります。
システム管理者は以下のポイントを押さえておきましょう。

ポイント1
SHA-1証明書を利用しているサービス、またサービスを提供しているサーバを洗い出します。
サービスを提供しているサーバがわからないと、そもそも対策ができません。

ポイント2
サーバ上で利用している証明書を確認します。
証明書の確認観点は、以下の通りです。

・証明書のアルゴリズム
・証明書の発行元

確認できましたら、証明書の発行元にSHA-2証明書の更新を依頼しましょう。

ポイント3
現在使用しているSHA-1証明書をSHA-2証明書に変更しましょう。
SHA-2証明書に変更しても問題なくWebサイトやFTPサイトにアクセスできるか、確認しましょう。

つらつらとWindowsのSHA-1証明書廃止による、ユーザー影響およびシステム管理者の対策ポイントを記載しましたが、
随時、マイクロソフトのSHA-1廃止ポリシーは更新されているようです。
マイクロソフトに動きがあり次第、当ブログでも続報として皆様に報告したいと思います。

最後に、詳しい情報をお知りになりたい方は以下のマイクロソフトのサイトが参考になるかと思います。
マイクロソフト セキュリティ アドバイザリ 2880823

  • このエントリーをはてなブックマークに追加
  • Pocket