Netcraft - Internet Research, Anti-Phishing and PCI Security Services |
インターネットサービス企業Netcraftは1月8日(英国時間)、「US military still SHAckled to outdated DoD PKI infrastructure|Netcraft」において、業界全体でSHA-1ハッシュアルゴリズムを使用したSSL証明書の排斥が進む中、米国防総省が依然としてSHA-1ハッシュアルゴリズムを使ったSSL証明書を発行し、.mil Webサイトへのアクセスに使用していると指摘した。
認証局および主要ブラウザベンダー/プロジェクトは1月1日以降、パブリックな認証局においてSHA-1を使用した証明書を発行しないことで認識を一致させており、段階的にSHA-1ハッシュアルゴリズムを使ったSSL証明書の排斥を進め、最終的にその使用を停止する方向で作業を進めている。しかし、米国防総省はパブリックな認証局ではないためこの協定に準拠しておらず、現在でもSHA-1を使ったSSL証明書を発行していると説明されている。
SHA-1ハッシュアルゴリズムが想定していた以上に早い段階で実用的に安全ではなくなることが複数のセキュリティ研究者から発表されており、今後さらに安全ではないと判断される時期が早まる可能性がある。主要ブラウザベンダー/プロジェクトは既に対応を始めており、今後SHA-1を使ったSSL証明書を使っているサイトへのアクセスは難しくなることが予想されるほか、想定よりも早い段階でより高いレベルの対応が実施される可能性もある。
