シマンテックは2月5日、次世代ハッシュアルゴリズム(SHA-2)対応のSSLサーバー証明書をすべての販売経路で提供開始した。同時に従来方式の証明書(SHA-1)の最大有効期限を2016年末までと定め、SHA-2証明書への移行準備を進めるよう呼びかけている。
シマンテックのSSLサーバー証明書の発行スケジュール。SHA-1証明書の新規発行は2015年末まで、最大有効期限は2016年末まで
SSL通信では、サーバーからクライアント(Webブラウザなど)に送信されたSSLサーバー証明書が「本物」であることを確認するために、SHA-1やSHA-2といったハッシュアルゴリズム(ハッシュ関数)を用いた検証を行う。これにより、証明書の改竄によるサーバーの“なりすまし攻撃”を防ぐ仕組みだ。
SSL通信の概要。ハッシュアルゴリズムは、サーバーからクライアントに送信されたSSLサーバー証明書が本物かどうかを検証するために使われる
暗号技術における鍵長と同様に、ハッシュ関数による計算結果(ハッシュ値)も長いほうが攻撃に強い。マイクロソフトは昨年(2013年)11月にSHA-1の廃止スケジュールを公表し、ハッシュ長が長くより安全性の高いSHA-2への移行を推奨している。米国政府や日本政府、また民間の業界団体なども同様の移行アナウンスをしている。
今回、シマンテックはマイクロソフトのスケジュールに合わせ、SHA-1を利用したSSLサーバー証明書の新規発行を2015末まで、また利用できる期間(最大有効期限)を2016年末までと定めた。同時に、これまでSSLの大規模利用顧客向けにのみ販売していたSHA-2証明書を、小口顧客向け販売経路(購入サイト)にも拡大している。
Webサイト管理者、APIを利用するシステムの管理者などは対応を
同日の説明会でシマンテック SSL製品本部 SSLプロダクトマーケティング部 上席部長の安達徹也氏は、SHA-2証明書への移行に向けて、具体的に誰がどんなアクションをしなければならないのかを説明した。
SSLサーバー証明書については、Webサイト管理者、APIを利用したシステム間連携の管理者、ブラウザや組み込み機器のベンダーが、それぞれSHA-2の導入に向けた検証と実装、SHA-1の利用停止を、2016年末までに順次行わなければならない。
SSLサーバー証明書の利用者(顧客)が取るべき具体的なアクション
検討時の留意点として安達氏は、古いWebサーバーやロードバランサにはSHA-2に非対応のものもあることを挙げた。その場合はシステム更新も併せて検討しなければならず、SHA-2証明書の導入までに時間を要する可能性がある。
SHA-2証明書への対応状況。Webサーバーやロードバランサは、対応に時間がかかる可能性があるので早めに検討を始めるべき
また安達氏は、SSLサーバー証明書以外にも、SHA-1が利用されているコードサイニング証明書、セキュアメールIDにおいても、同様にSHA-2への移行が必要であると語った。
なお、シマンテックの場合、SHA-1証明書とSHA-2証明書で発行にかかる料金は変わらない。また、SHA-1証明書の有効期間中に「再発行」手続きを行うことで、SHA-2証明書に切り替えることもできる。
