SSL 3.0の脆弱性とSHA-2への移行を促すMicrosoft - 阿久津良和のWindows Weekly Report

蛇足だが早期からSHA-2への移行を促した民間企業はMicrosoftのみ。Google ChromeがSHA-1サポート中止スケジュールをし発表したのはつい最近、2014年9月のことだった。

具体的には2016年1月1日以降は、SHA-1を利用したSSL/TLS証明書およびコード署名証明書の新規発行を中止し、場合によってはMicrosoftが管理するルート証明書プログラムメンバーから、証明機関としての登録除外も予定している。さらに2016年1月1日以降のタイムスタンプで署名した証明書/コード署名はWindowsで利用できなくなる予定だ。そして2017年1月1日以降はSSL証明書も使用できなくなるという具合だが、日本マイクロソフトのセキュリティチームの記事によれば、2015年7月の時点で移行状況を再確認し、処置の見直しも予定しているという。

現在SHA-1廃止に関してコミットしているのは、Microsoft/日本マイクロソフトだけではない。2014年以降は、証明書サービスを提供する企業も移行を促すアナウンスや対策を講じている。先日とあるインターネットセキュリティ事業者を取材したが担当者は、ホスティングサービスを提供する顧客へのアピールが忙しい旨を語っていた。