米国防総省、SHA-1を使ったSSL証明書をいまだに発行中
認証局および主要ブラウザベンダー/プロジェクトは1月1日以降、パブリックな認証局においてSHA-1を使用した証明書を発行しないことで認識を一致させており、段階的にSHA-1ハッシュアルゴリズムを使ったSSL証明書の排斥を進め、最終的にその使用を停止する方向で作業を進めている。しかし、米国防総省はパブリックな認証局ではないためこの協定に準拠しておらず、現在でもSHA-1を使ったSSL証明書を発行していると説明されている。
SHA-1ハッシュアルゴリズムが想定していた以上に早い段階で実用的に安全ではなくなることが複数のセキュリティ研究者から発表されており、今後さらに安全ではないと判断される時期が早まる可能性がある。主要ブラウザベンダー/プロジェクトは既に対応を始めており、今後SHA-1を使ったSSL証明書を使っているサイトへのアクセスは難しくなることが予想されるほか、想定よりも早い段階でより高いレベルの対応が実施される可能性もある。
提供元の記事
提供:
