SHA-1 证书淘汰警告：网站管理员需紧急验证TLS安全性

こんにちは、村木ゆりかです。

以前よりマイクロソフト セキュリティ アドバイザリ 2880823、そして、このブログでもご案内しているとおり、証明書に利用されているハッシュ アルゴリズム SHA-1 の安全性の低下に伴い、利用廃止が進められています。

マイクロソフトでは、2017 年 2 月 14 日 (米国時間) ~~2017 年中旬 ~~ 2017 日 5 月 9 日 (米国時間) より、SHA-1 の TLS サーバー証明書を利用するウェブサイトを、Microsoft Edge および Internet Explorer 11 で閲覧した場合、信頼しないサイトとして警告を表示します。インターネットに公開しているウェブサーバーの管理者は、自サイトが 信頼しないサイトとして表示されないように、いまいちど確認をお願いいたします。

補足：すべての構成やシナリオに対応するために Microsoft Edge および Internet Explorer 11 における SHA-1 廃止に受けたタイムラインについて 2017 年中旬へ変更しました。2017 年 5 月より、SHA-1 証明書を利用したサイトを閲覧した場合、警告を表示し保護します。また、Windows 10 の次のリリースにおいては、SHA-1 証明書を既定のブラウザでブロックするようにアップデートを行う予定です。すぐに、SHA-1 証明書を利用したサイトをブロックしたい場合は、the Microsoft Edge Developer Blog にある手順に従い、ブロックを行ってください。

更新 (4/28) : 2017 年 5 月 9 日 (米国時間) に、Microsoft Edge and Internet Explorer 向けの更新プログラムの配信を開始します。これにより、SHA-1 証明書を利用したサイトを閲覧した場合、無効な証明書として警告を表示し、サイトをブロックします。なお、Windows 10 Creators Update は既定で Sha-1 証明書をブロックします。

更新 (5/9):マイクロソフト セキュリティ アドバイザリ 4010323

2017 年 5 月 10 日、マイクロソフトは SHA-1 証明書で保護されているサイトの読み込みをブロックし、無効な証明書の警告を表示するために Microsoft Edge および Internet Explorer 11 の更新プログラムをリリースしました。この変更で影響を受けるのは、End Entity 証明書または中間証明機関の証明書が SHA-1 を使用している、マイクロソフトの信頼されたルート証明書プログラムのルートにチェーンされた SHA-1 証明書のみです。エンタープライズ証明書や SHA-1 の自己署名証明書は影響を受けませんが、すべてのお客様が SHA-2 ベースの証明書に迅速に移行することをお勧めします。詳細については、「マイクロソフト セキュリティ アドバイザリ 4010323」 および 「Windows Enforcement of SHA1 Certificates」(英語情報) を参照してください。

(1) マイクロソフト SHA-1 証明書の制限措置 全体ロードマップ

マイクロソフト SHA-1 証明書に対する利用制限の措置は、3 段階で実施予定です。まずは、HTTPS ウェブサイトなどに利用されている TLS サーバー証明書を、Microsoft Edge および Internet Explorer 11 で閲覧した際から警告を表示し、徐々に、対象の証明書と対処の利用シナリオの範囲を広げます。

注意事項

すべての SHA-1 証明書利用制限措置は、マイクロソフトルート証明書更新プログラムに参加しているルート証明機関から発行された証明書のみに行われます。参加しているルート証明機関は、Microsoft Trusted Root Certificate Program Updates にある最新のリストから確認できます。

Windows 証明書サービスや Active Directory Certificate Services (ADCS) などを利用している社内用証明機関や、自己署名証明書は、SHA-1 利用廃止措置の対象外です。

(2) SHA-1 の TLS サーバー証明書に対する制限措置 詳細

(2-1) TLS 証明書に対する廃止措置 ロードマップ

段階 1 (現在)

Microsoft Edge および Internet Explorer 11 で SHA-1 TLS サーバー証明書を使用するウェブサイトを閲覧すると、安全なサイトを示す「鍵アイコン」が表示されません。

段階 2 (2017年5月以降)

SHA-1 TLS サーバー証明書を使用するサイトにアクセス時、ブラウザが「信頼しないサイト」警告を表示します。

段階 3 (開始時期未定)

Internet Explorer 10 以前およびその他アプリケーションでも SHA-1 TLS 証明書の警告またはブロックを実施予定。最新情報は https://aka.ms/sha1 を参照。

(2-2) 対象となる証明書、ウェブサイト

対象条件（両方満たす場合）:

• SHA-1 TLS サーバー証明書を使用
• マイクロソフトルート証明書プログラム参加CAが発行

対象外:

• 非プログラム参加CAの発行証明書
• 自己署名証明書

(2-3) 影響確認方法

確認対象者: インターネット公開ウェブサーバー管理者

手順:

1. Internet Explorer 11 および Microsoft Edge を最新版に更新
2. 対象ウェブサイトにアクセス
3. SHA-1 証明書使用サイトでは鍵アイコンが非表示

ログ採取手順:

set LogDir=C:\Log
mkdir %LogDir%
icacls %LogDir% /grant *S-1-15-2-1:(OI)(CI)(F)
icacls %LogDir% /grant *S-1-1-0:(OI)(CI)(F)
icacls %LogDir% /grant *S-1-5-12:(OI)(CI)(F)
icacls %LogDir% /setintegritylevel L
Certutil -setreg chain\WeakSignatureLogDir %LogDir%
Certutil -setreg chain\WeakSha1ThirdPartyFlags 0x80040004

ログ設定解除:

Certutil -delreg chain\WeakSha1ThirdPartyFlags
Certutil -delreg chain\WeakSignatureLogDir

(3) 参照情報

• 日本語ガイダンス: https://aka.ms/sha1guidance
• 最新情報（英語）: https://aka.ms/sha1