Chrome、2016年からSHA-1証明書を非サポートへ

WebサーバでSHA-1を使った証明書を使っているのであれば注意が必要だ。主要ブラウザベンダやプロジェクトは順次SHA-1のサポート廃止を決定しており、2016年以降に随時Webサイトにアクセスできなくなる可能性が高いとされている。

Google Chromeチームは12月18日(米国時間)、「Google Online Security Blog: An update on SHA-1 certificates in Chrome」において、2016年の早い段階でリリースされるChrome 48からSHA-1のサポートを順次廃止することを発表した。

Chrome 48では次の条件を満たす証明書を使ったサイトには証明書が不適切であるエラーを示すページが表示されるようになる。

SHA-1をベースにしたシグネチャを使っている
2016年1月1日以降に発行されている
パブリック認証局へチェインしている

2016年以降、パブリック認証局に対してSHA-1を使った証明書の発行は共通認識として禁止されており、このページが表示されることはないだろうとされている。また、これら対処はパブリック認証局に対して適用されるもので、プライベート認証局の場合にはこのページは表示されないとされている(ただし、UIには危険であることを示すUIは表示される)。

2017年以降にはさらに対象を拡大し、SHA-1を使った証明書を使っているすべてのサイトが致命的なネットワークエラーとして処理されるようになる。ただしGoogleでは、この開始時期を2016年7月1日まで前倒しすることを検討しており、早ければ2016年7月以降、SHA-1を採用したページが利用できなくなる可能性がある。