アルファSSLからのニュースや重要なお知らせをしています。
アルファSSL SHA-2(SHA256)電子証明書への移行について 2014.3.18
平素は、アルファSSLをご愛顧いただき誠にありがとうございます。
現在、弊社SSLサーバ証明書およびGSコードサイニング証明書をご利用のお客様にお知らせいたします。
2013年11月12日、Microsoft社より、SHA-1ハッシュ関数の危殆化を背景に、SHA-1廃止ポリシーの発表がありました。 これにより、SHA-1ハッシュ関数の弊社SSLサーバ証明書およびコードサイニング証明書が、2016年から発行が不可になります。またSSLサーバ証明書は2017年1月から、コードサイニング証明書は2016年1月からご利用不可となります。
※当仕様変更では、変更日以前に発行された証明書を失効することはございません。引き続きご利用いただけます。
※SHA-2証明書に変更は、ございません。
Microsoft社からの発表
[SHA-1 廃止ポリシー]
1.認証局は2016年1月1日までに新たなSHA-1 SSLサーバ証明書およびコードサインニング証明書の発行をやめなければならない。
2.SSLサーバ証明書については、Windowsは2017年1月1日までにSHA-1証明書の受け入れを中止する。
3.コードサインニング証明書については、Windowsは、2016年1月1日以降にSHA-1によって署名されたコードの受け入れを中止する。
※上記は弊社による部分訳です。詳細は以下の原文をご確認ください。
当社電子証明書をご利用のお客様へ
ご利用中の電子証明書がSHA-2(SHA256)の場合
何も対応の必要は、ございません。
ご利用中の電子証明書がSHA-1の場合
期間中に利用不可になる場合がございますので、その場合は再発行(無償)が必要です。
以下有効期限に該当する証明書は、必須事項の対応が必要となります。
電子証明書種類 | 有効期限 | 必須事項 |
アルファSSL アルファSSL プラス アルファSSL プラス ワイルドカード |
2017年1月1日以降 | 2016年12月31日までにSHA-2(SHA256)で再発行 |
GSコードサイン | 2016年1月1日以降 | 2015年12月31日までにSHA-2(SHA256)で再発行 |
SHA-1にて更新をご希望の場合
SHA-1にて再発行をご希望の場合
2015年12月31日まで可能でございます。
SHA-1にて更新をご希望の場合
2014年12月31日までは契約期間に最大3年までご選択いただけます。
2015年12月31日までは契約期間に最大2年までご選択いただけます。
SHA-1のコードサイニング証明書をご利用中の場合
SHA-1にて再発行をご希望の場合
2015年12月31日まで可能でございます。
SHA-1にて更新をご希望の場合
2014年12月31日までは契約期間に1年または2年をご選択いただけます。
2015年12月31日までは契約期間に1年のみをご選択いただけます。
SHA-2(SHA256) 対応環境
SHA-1とSHA-2(SHA256)では対応環境が異なります。詳細は以下のページをご覧ください。
SHA-2の対応環境について
良くあるご質問
Q:SHA-1、SHA-2とは何でしょうか?
ハッシュ関数の一つで、改ざん検知に利用される署名アルゴリズムのことです。ハッシュ関数とは、テキストデータから別の固定長のテキストデータ(ハッシュ値)を生成する関数であり、生成されたハッシュ値を比較することでデータの改ざんを確認することができます。SHA-1とSHA-2でハッシュ値の長さが異なり、SHA-1は160ビット、SHA-2は224ビット・256ビット・384ビット・512ビットです。
Q:なぜ、SHA-1からSHA-2へ証明書のハッシュ関数を変える必要があるのでしょうか?
ハッシュ関数による改ざん検知は、同じデータから生成されるハッシュ値が一様であることを前提に成り立っています。ハッシュ値が短いと同一のハッシュ値を持つデータが発見される可能性が高くなり、安全性が低下します。コンピュータの計算能力の向上により、SHA-1の安全性が危ぶまれるようになったため、よりハッシュ値の長いSHA-2の利用が推奨されます。
Q:SSLサーバ証明書のハッシュ関数の確認方法がわかりません。
ブラウザの鍵マークから参照することで確認できます。Internet Explorerの場合は「詳細」の署名アルゴリズムまたは署名ハッシュアルゴリズム欄に、Firefoxの場合は「詳細」のCertificate Signature Algorithm欄に記載されています。
Q:ハッシュ関数の違いにより証明書の設定方法に違いはあるのでしょうか?
設定方法に違いはありませんが、設定に利用するルート証明書、中間証明書が異なります。ご利用の証明書に対応するルート証明書、中間証明書を使用するようご注意ください。 SHA-2(SHA256)用中間証明書は、リポジトリ・利用約款からご利用中のサービスに対応した中間証明書をダウンロードしてご利用ください。
リポジトリ・利用約款
Q:ハッシュ関数の違いにより対応環境(ブラウザ、携帯端末など)に違いはあるのでしょうか?
異なります。特にフィーチャーフォンにおいて対応機種が大きく異なるためご注意ください。詳細は以下をご覧ください。
SHA-2(SHA256)の対応環境について
Q:SHA-2に環境が対応していないので、SHA-1の証明書を引き続き利用(発行)することは可能でしょうか?
SHA-1証明書の発行または利用には期限がございます。期限を過ぎての発行・利用はできません。詳細は上記の「Microsoft社からの発表」をご確認ください。
Q:MS Authenticode対応コードサイニング証明書において、SHA-1で署名した場合、検証できなくなってしまうのでしょうか?
2016年1月1日より以前にタイムスタンプ付きで署名されたコードはMicrosoftが安全とする間は検証可能と発表しております。
また2016年1月1日以降も、それまでにタイムスタンプ付きで署名されたプログラム、コードに関してはMicrosoft社が認める期間は正常に動作すると発表されています。
注意事項
アルファSSLで、発行するSHA-2証明書のハッシュ関数はSHA256です。
ご質問や不明な点などございましたら、お問い合わせフォームよりご連絡ください。