影響あり 公的認証局によって発行された SHA-1 証明書は受け入れられなくなります

公開日: | カテゴリー: プライバシー & セキュリティ

概要

弱い SHA-1 ハッシュアルゴリズム を使った SSL 証明書への対応は Firefox 36 以降廃止予定とされています。Firefox 48 以降では、以降に発行された SHA-1 証明書は、手作業でインポートされたルート証明書を除き 受け入れられません

公開の Firefox 53 でこの期間条件がなくなり、公的認証局によって発行された SHA-1 証明書はすべて 信頼できない接続 エラー表示となります。Mozilla の発表 によれば、現在の SHA-1 使用率は 1% 未満であり、対応の廃止は Firefox 51 Beta サイクル中に影響を評価しつつ徐々に拡大されます。

ウェブコンソール であなたのサイトを読み込んで SHA-1 証明書についての警告が表示された場合は、その発行者へ速やかに連絡を取り、有効期間に関わらず新しい SHA-2 証明書と無償で交換してください。

更新: 影響を受けるバージョンを修正しました。Firefox 51 ではなく 53 です。

更新 2: Google Chrome 56 が 2017 年 1 月に既に SHA-1 対応を廃止していることから、Mozilla は 3 月公開の Firefox 52 で この変更を前倒しで行う ことを予定しています。それに伴い、この記事のバージョンを再度変更しました。

更新 3: バグの コメント によれば、証明書の交換後もまだ Firefox でエラーページが見られる場合は、中間証明書も認証局 (CA) によって近年再発行された可能性があり、それらも併せて更新する必要があるかもしれません。他のブラウザーは、その方針によっては、そうした場合に何もエラーを出さない場合があります。影響を受けるサイト一覧 を参照してください。

更新 4: Google による 初の現実的な SHA-1 衝突 の発表を受けて、Mozilla は の Firefox 52 最終リリースを待つことなく、にリモートですべての Firefox ユーザーの SHA-1 対応を無効化しました。

参考資料