...

SSLサーバ証明書 SHA-1からSHA-2への移行

by user

on
Category: Documents
11

views

Report

Comments

Transcript

SSLサーバ証明書 SHA-1からSHA-2への移行
SSLサーバ証明書
SHA-1から
SHA-2への移行
目次
経緯とこれまでの動き・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・1
SHA-1・SHA-2とは、SHA-1証明書を使い続けるリスク・・・・・・・・・・・・・1
SHA-1証明書に関する対応状況・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・2
証明書の有効期限・署名アルゴリズムの調べ方・・・・・・・・・・・・・・・・・・・・・7
SHA-2証明書への移行手続について・・・・・・・・・・・・・・・・・・・・・・・・・・・・12
SHA-2証明書発行状況・よくある質問・・・・・・・・・・・・・・・・・・・・・・・・・・・14
概要
SHA-1ハッシュ関数の危殆化を背景に、NIST(アメリカ国立標準技術研究所)は、
2010年までにSHA-2へ移行することを勧告していましたが、SHA-2ハッシュ関数の
普及が進まず2011年に"非推奨"という表現に変更しました。
その後2013年11月に、Microsoft社はSHA-1ハッシュ関数を用いたSSLサーバ証明
書の受け入れを2017年1月以降不可とする
『SHA-1廃止ポリシー』を発表しました。
グローバルサインでは、
ご利用中のSSLサーバ証明書のSHA-2への移行を推奨してお
ります。
SHA-1廃止ポリシー
1) 認証局は2016年1月1日までに新たなSHA-1 SSLサーバ証明書の発行をや
めなければならない。
2) SSLサーバ証明書については、Windowsは2017年1月1日までにSHA-1証明
書の受け入れを中止する。
※上記は弊社による部分訳です。詳細は以下の原文をご確認ください。
原文:Windows Root Certificate Program - Technical Requirements version 2.0
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
本件に関するこれまでの経緯と今後の動き
2004年
NISTが「SHA-1は2010年までに運用を終了し、SHA-2(SHA-224、SHA-256、
SHA-384、SHA-512の総称)に移行する」計画を発表
2011年
NISTがSHA-2ヘの移行が進んでいない実情を容認する形で、
「 非推奨であること
を認識する」
「リスクを認識したうえで利用する」
ことを前提に、2013年末までの
SHA-1利用の許容
2013年
MicrosoftがSHA-1廃止ポリシーを発表
2014年4月 グローバルサインにてSHA-2(SHA256)証明書の提供開始
2015年12月
グローバルサインでは2015年12月31日をもってSHA-1SSLサーバ証明書の発
行を停止
2015年12月
Microsoft社では、2017年1月1日をもってWindows製品でのSHA-1証明書受
け入れを停止
SHA-1・SHA-2とは
SHA-1・SHA-2とは、ハッシュ関数の種類で、改ざん検知に利用される署名アルゴリズム
のことです。
ハッシュ関数とは、テキストデータから別の固定長のテキストデータ
(ハッシュ値)を生成
する関数であり、生成されたハッシュ値を比較することでデータの改ざんを確認すること
ができます。SHA-1とSHA-2でハッシュ値の長さが異なり、SHA-1は160ビット、
SHA-2は224ビット・256ビット・384ビット・512ビットです。
SHA-2は、SHA-224・SHA-256・SHA-384・SHA-512の総称です。
SHA-1証明書を使い続けるリスク
ハッシュ関数による改ざん検知は、同じデータから生成されるハッシュ値が一様である
ことを前提に成り立っています。ハッシュ値が短いと同一のハッシュ値を持つデータが
発見される可能性が高くなり、安全性が低下します。
コンピュータの計算能力の向上に
より、SHA-1の安全性が危ぶまれるようになったため、
よりハッシュ値の長いSHA-2の
利用が推奨されます。
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
1
SHA-1証明書に関する対応状況
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
2
SHA-1証明書の発行・再発行に関する弊社の対応予定
現在グローバルサインでは、最大有効期限が「2016年12月31日まで」のSHA-1 SSLサーバ証明書
は発行しておりますが、2016年1月1日以降はSHA-1 SSLサーバ証明書は発行することができなく
なります。
2014 年
グローバルサイン
最大 3 年の契約期間
まで発行可能
2015 年
2014 年 11月14 日以降は最大
有効期限が 2016 年 12 月 31日
まで発行可能
2016 年
2017 年以降
2016 年 1月1日以降は発行不可
発行停止までのスケジュール
対象サービス
・クイック認証SSL(スキップ申込サービスを含みます)
・企業認証SSL(スキップ申込サービスを含みます)
・EV SSL
・国会議員向けウェブサイト用証明書(スキップ申込サービスを含みます)
・地方公共団体首長・議員向けウェブサイト用証明書(スキップ申込サービスを含みます)
・政党公式サイト向けウェブサイト用証明書(スキップ申込サービスを含みます)
受け付け終了日に
1)証明書お申し込み受け付け終了日(SSLマネージドサービスを除く)
ついて
2015年12月13日(日)
※クイック認証SSLは2015年12月31日(木)
までに承認のお手続きを行ない、証明書
の発行を完了してください。
※クイック認証SSL以外は2015年12月28日(月)15:00 までに審査を完了する必
要があるため、余裕をもってお申し込みください。
2)SSLマネージドサービスでの証明書お申し込み受け付け終了日
2015年12月31日(木)
※プロファイルとドメインの審査は2015年12月28日(月)15:00 までに完了してい
る必要がございます。
3)再発行の受け付け終了日
2015年12月31日(木)
※SSLマネージドサービスでの再発行も同様です。
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
3
ブラウザ[Internet Explorer]の対応予定
2016年12月31日までご利用可能ですが、2017年1月1日以降は利用できなくなります。
2014 年
Microsoft
Internet
Explorer
2015 年
2016 年
2016 年 12 月 31日まで通常どおり可能
2017 年以降
2017 年 1月1日以降不可
ブラウザ[Google Chrome]の対応予定
ブラウザのバージョンとSSLサーバ証明書の有効期限により以下の対応となります。
バージョン41
有効期限が2016年6月1日から2016年12月31日までの場合は、鍵マークに黄色
い三角付きアイコンが表示
バージョン42
有効期限が2016年1月1日から2016年12月31日までの場合は、鍵マークに黄色
い三角付きアイコンが表示
有効期限が2017年1月1日以降の場合は、鍵マークに赤い がつき、httpsに二重
の赤い取消線が表示
2014 年
2015 年
2016 年
2017 年以降
有効期限が 2016 年 5 月 31日までの
場合は通常どおり可能
Google Chrome
ver.41
有効期限が 2016 年 6 月1日から 2016 年 12 月 31日まで
の場合は注意表示
有効期限が 2017 年 1月1日以降の場合は非 SSL 通信時と同様の表示
Google
有効期限が 2015 年
12 月 31日までの場合は
通常どおり可能
Google Chrome
ver.42
有効期限が 2016 年 1月1日から
2016 年 12 月 31日までの場合は注意表示
有効期限が 2017 年 1月1日以降の場合は警告を表示
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
4
ブラウザ[Mozilla Firefox]の対応予定
SSLサーバ証明書の発行日や有効期限により以下の対応となります。
発行された証明書の場合
有効期限が2016年12月31日まで・
・
・2017年1月1日以降警告表示
有効期限が2017年1月1日以降・
・
・
・
・注意表示ののち、
2017年1月1日
以降警告表示
2016年1月1日以降に発
有効期限が2016年1月1日から2016年12月31日まで
2015年12月31日以前に
・・・鍵マークに黄色い三角付きアイコンが表示
行された証明書の場合
有効期限が2017年1月1日以降
・・・鍵マークに赤い がつき、httpsに二重の赤い取消線が表示
2014 年
2015 年
2017 年以降
2016 年
2015 年 12 月 31日以前に発行され、有効期限が 2016 年 12 月 31日までの場合は通常どおり可能
Mozilla
Firefox
2017 年 1月1日以降は
警告表示
2017 年 1月1日以降は
有効期限が 2017 年 1月1日以降の場合は注意表示
警告表示
2016 年 1月1日以降に発行
された場合は警告表示
2017 年 1月1日以降は
警告表示
※各ブラウザの対応状況は、
2015年6月1日時点の情報に基づき作成しています。
各社の対応時期等は変更される場合があります。
ライブラリ・モバイル(携帯)端末対応状況
SHA-1証明書
※2014年12月調べ
【ライブラリ】
・ORACLE JRE
(1.7.0 以降、1.6.0_10 以降、1.5.0_16 以降、1.4.2_18 以降)
・NSS 3.11.10 以降
・SeaMonkey 2 以降
【フィーチャーフォン】
・2009年冬モデル以降
【スマートフォン】
・100%対応
SHA256(SHA-2)証明書
【ライブラリ】
・OpenSSL Project OpenSSL 0.9.8o 以降※
・GnuTLS 1.7.4 以降
・Oracle JRE
(1.7.0 以降、1.6.0_17 以降、1.5.0_22 以降、1.4.2_19以降)
・ Mozilla NSS 3.11.10 以降
・ Microsoft .NET 3.5 SP1 以降
※ハッシュアルゴリズムのSHA256は、OpenSSL 0.9.8より搭載されておりますが、
標準で有効になったのは0.9.8oからです。
【フィーチャーフォン】
・2010年夏モデル以降
【スマートフォン】
・iOS 4以降、Android 2.3以降対応
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
5
現在SHA-1 SSLサーバ証明書をご利用中のお客様へ
有効期限が2017年1月1日以降の場合、
ご利用中に利用不可になる場合がございますので、2016年
12月31日までにSHA256証明書での再発行(無償)のお手続きが必要です。
SHA-1 SSLサーバ証明書にて再発行をご希望のお客様へ
再発行(無償)可能な期間が2015年12月31日までとなります。
※2016年12月31日を超える残期間を有する証明書を2014年11月14日 18:00以降に再発行の
手続きを行った場合は、有効期限が2016年12月31日までに短く変更のうえ再発行されます。
再発行により有効期間が短くなった証明書は、再度SHA256証明書にて再発行の手続きを行ってい
ただくことにより、当初の有効期限までの証明書を発行いたします。
オリジナル
SHA-1証明書で
更新
有効期限:2018 年 6 月 30 日
有効期限:2016 年 12 月 31日
補塡対応
期間
SHA256 証明書で
再度更新
有効期限:2018 年 6 月 30 日
SHA-1 SSLサーバ証明書にて更新をご希望のお客様へ
SHA-1 SSLサーバ証明書でのお申し込み可能な最大契約期間、及び最大有効期限につきましては、
以下をご確認ください。
お申し込み可能な
契約期間
発行可能な証明書の
最大有効期限
クイック認証SSL・企業認証SSL
半年・1年
2016年12月31日
EV SSL
1年
2016年12月31日
※SHA-1 SSLサーバ証明書の最大有効期限は2016年12月31日までとなるため、
「 更新」や「乗り換え」等に
おいて有効期限の延長期間が短くなる場合がございます。
※2014年11月17日以降に発行されるSHA-1 SSLサーバ証明書は、有効期間が2016年12月31日に制限
されております。
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
6
証明書の有効期限・署名アルゴリズムの調べ方
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
7
証明書の有効期限の調べ方
Internet Explorer で確認
ブラウザの鍵マークをクリック後、
「証明書の表示」をクリックしてく
ださい。
「詳細」タブをクリックし、
「 有効期
間の終了」欄をご確認ください。
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
8
証明書の有効期限の調べ方
Firefox で確認
ブラウザの鍵マークをクリック後、
「詳細を表示」をクリックしてくだ
さい。
「一般」タブの「証明書の有効期間
」欄をご確認ください。
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
9
署名アルゴリズムの調べ方
Internet Explorer で確認
ブラウザの鍵マークをクリック後、
「証明書の表示」をクリックしてく
ださい。
「詳細」タブをクリックし、
「 署名ハ
ッシュアルゴリズム」欄をご確認く
ださい。
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
10
署名アルゴリズムの調べ方
Firefox で確認
ブラウザの鍵マークをクリック後、
「詳細を表示」をクリックしてくだ
さい。
「詳細」タブの「Certificate
Signature Algorithm」欄をご
確認ください。
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
11
SHA-2証明書への移行手続きについて
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
12
再発行の手続きの流れ
SHA-2(SHA256)への移行期限(2016年12月31日)より証明書の有効期限が長い場合は、
移行期限前に証明書の再発行のお手続きが必要となります。
事前準備
証明書再発行お申し込み
証明書再発行お申し込み
CSR(スキップ申し込みサービスをご利用の場合は不要)や
審査に必要な書類を準備してください。
GSパネルにログイン後、対象の証明書を選択して、再発
行のお申し込みをしていただきます。
署名ハッシュアルゴリズム選択
「SHA256」を選択してください。
再発行する証明書の確認
再発行ではディスティングイッシュネームを変更すること
ができません。
証明書発行・インストール
発行された証明書をサーバにインストールしていただきま
す。
更新の手続きの流れ
SHA-2(SHA256)への移行期限前に更新を迎える場合は、証明書の更新時に署名ハッシュア
ルゴリズムの選択欄でSHA-2(SHA256)を選択してください。
事前準備
証明書再発行お申し込み
証明書更新お申し込み
CSR(スキップ申し込みサービスをご利用の場合は不要)や
審査に必要な書類を準備してください。
GSパネルにログイン後、更新対象の証明書を選択してく
GSパネルにログイン後、対象の証明書を選択して、再発
ださい。
行のお申し込みをしていただきます。
署名ハッシュアルゴリズム選択
「SHA256」を選択してください。
証明書発行・インストール
発行された証明書をサーバにインストールしていただきま
す。
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
13
SHA-2証明書発行状況
よくある質問
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
14
SHA-2証明書発行状況
EU
日本
アジア
10%
US
9%
10%
90%
5%
91%
93%
95%
全体
100
90
80
70
60
50
40
30
20
10
0
8%
10%
5%
7%
9%
92%
90%
95%
93%
91%
全体
EU
US
アジア
日本
8%
92%
SHA256
SHA-1
よくある質問
Q. 現在利用している証明書のハッシュ関数および有効期限を調べる方法を教えてください。
A. 本資料「証明書の有効期限・署名アルゴリズムの調べ方」をご参照ください。
Q. ハッシュ関数が判明したら、
どのような対応を行えばいいでしょうか?
A. ご利用中の電子証明書がSHA256の場合は、何もご対応いただく必要はございません。
引き続きご利用ください。
ご利用中の電子証明書がSHA-1の場合、有効期間中に利用不可になる場合がございま
すので、その場合はSHA256証明書の再発行(無償)が必要です。
Q. ハッシュ関数の違いにより対応環境(ブラウザ、携帯端末など)の違いはありますか?
A. SHA-1とSHA256では対応環境が異なります。
Q. ハッシュ関数の違いにより証明書の設定方法に違いはあるのでしょうか?
A. 設定方法に違いはありませんが、設定に利用するルート証明書、中間証明書が異なります。
ご利用の証明書に対応するルート証明書、中間証明書を使用するようご注意ください。
Q. SHA-2に環境が対応していないので、SHA-1の証明書を引き続き利用(発行)すること
は可能でしょうか?
A. SHA-1証明書の発行または利用には期限がございます。期限を過ぎての発行・利用はでき
ません。
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
15
グローバルサインのSSLサーバ証明書
クイック認証SSL
企業認証SSL
example.com
example.com
ドメインの所有権
通信データの
暗号化
認証
・問い合わせフォーム
・会員向けサイトなどにオススメ。
★
認証レベル
EV SSL(強化認証SSL)
example.com
ドメインの所有権
企業の法的実在
企業の物理的実在
ドメインの所有権
企業の法的実在
通信データの
暗号化
認証
登記
・新規ユーザの信頼獲得が必要な会員制
サイトなどにオススメ。
認証レベル
認証項目
ドメイン
認証項目
発行スピード
最短2分
発行スピード
通信データの
暗号化
認証
・金 融 機 関 や 、オンライン 決 済 の ある
ショッピングサイトにオススメ。
★★
認証レベル
ドメイン
法的企業実在性
認証項目
最短即日
登記
★★★
ドメイン・
法的及び物理的企業実在性
発行スピード 10営業日前後
※発行スピードは、一定の条件がございます。
お問い合わせ
専用ダイヤル
03-5728-1551
(受付時間:平日10 : 00 ∼18 :00)
検索
グローバルサイン SHA1 SHA2
https: / / j p. g l o b a l s i g n . co m / s h a 2 5 6 /
東京都渋谷区桜丘町26 -1 セルリアンタワー
グローバルサイン
Copyright ⓒ GMO GlobalSign K.K. All rights reserved.
検索
https://jp.globalsign.com/
16
Fly UP