フィッシング対策協議会は1月6日、2017年以降、署名アルゴリズムである SHA-1のSSL / TLS サーバ証明書を利用するWebサイトは安全と見なされなくなり、警告が表示されるようになるとして注意を呼びかけた。
Webサイトでは、通信を暗号化するためにサーバ証明書を利用しているが、これまではSHA-1のSSL/TLS サーバ証明書が広く利用されてきた。しかし、安全性の問題から、マイクロソフトやGoogleといったブラウザベンダーや業界団体 (CA / Browser Forum)が、2017年以降、SHA-1のサーバ証明書のサポートを廃止する指針を表明しており、SHA-2に移行する取り組みが進められている。
これに伴い、SHA-1 証明書のサポートが廃止されたブラウザで、SHA-1 証明書を利用するWebサイトを閲覧した場合、警告が表示されるようになる。
Googleの場合、2017年1月下旬にリリース予定のChromeのバージョン 56で、SHA-1証明書のサポートを削除することを計画している。同バージョンのChromeでSHA-1証明書を利用するWebサイトを閲覧した場合、警告表示されるようになる。
|
Chromeにおける警告表示 |
マイクロソフトの場合、2017年2月14日(米国時間)より、SHA-1証明書を利用するWebサイトをMicrosoft Edge /Internet Explorer 11で閲覧した場合、信頼しないサイトとして警告表示する。
|
|
|
Edge /Internet Explorer 11における警告表示 |
|
Mozillaの場合、2017年1月にリリース予定の Firefoxのバージョン 51 で、SHA-1証明書を利用するWebサイトを閲覧した場合、信頼されない接続としてエラーを表示する。
|
Firefoxにおけるエラー表示 |
