こんにちは、村木ゆりかです。
以前よりマイクロソフト セキュリティ アドバイザリ 2880823、そして、このブログでもご案内しているとおり、証明書に利用されているハッシュ アルゴリズム SHA-1 の安全性の低下に伴い、利用廃止が進められています。
マイクロソフトでは、2017 年 2 月 14 日 (米国時間) ~~2017 年中旬 ~~ 2017 日 5 月 9 日 (米国時間) より、SHA-1 の TLS サーバー証明書を利用するウェブサイトを、Microsoft Edge および Internet Explorer 11 で閲覧した場合、信頼しないサイトとして警告を表示します。インターネットに公開しているウェブサーバーの管理者は、自サイトが 信頼しないサイトとして表示されないように、いまいちど確認をお願いいたします。
補足:すべての構成やシナリオに対応するために Microsoft Edge および Internet Explorer 11 における SHA-1 廃止に受けたタイムラインについて 2017 年中旬へ変更しました。2017 年 5 月より、SHA-1 証明書を利用したサイトを閲覧した場合、警告を表示し保護します。また、Windows 10 の次のリリースにおいては、SHA-1 証明書を既定のブラウザでブロックするようにアップデートを行う予定です。すぐに、SHA-1 証明書を利用したサイトをブロックしたい場合は、the Microsoft Edge Developer Blog にある手順に従い、ブロックを行ってください。
更新 (4/28) : 2017 年 5 月 9 日 (米国時間) に、Microsoft Edge and Internet Explorer 向けの更新プログラムの配信を開始します。これにより、SHA-1 証明書を利用したサイトを閲覧した場合、無効な証明書として警告を表示し、サイトをブロックします。なお、Windows 10 Creators Update は既定で Sha-1 証明書をブロックします。
更新 (5/9):マイクロソフト セキュリティ アドバイザリ 4010323
2017 年 5 月 10 日、マイクロソフトは SHA-1 証明書で保護されているサイトの読み込みをブロックし、無効な証明書の警告を表示するために Microsoft Edge および Internet Explorer 11 の更新プログラムをリリースしました。この変更で影響を受けるのは、End Entity 証明書または中間証明機関の証明書が SHA-1 を使用している、マイクロソフトの信頼されたルート証明書プログラムのルートにチェーンされた SHA-1 証明書のみです。エンタープライズ証明書や SHA-1 の自己署名証明書は影響を受けませんが、すべてのお客様が SHA-2 ベースの証明書に迅速に移行することをお勧めします。詳細については、「マイクロソフト セキュリティ アドバイザリ 4010323」 および 「Windows Enforcement of SHA1 Certificates」(英語情報) を参照してください。
(1) マイクロソフト SHA-1 証明書の制限措置 全体ロードマップ
マイクロソフト SHA-1 証明書に対する利用制限の措置は、3 段階で実施予定です。まずは、HTTPS ウェブサイトなどに利用されている TLS サーバー証明書を、Microsoft Edge および Internet Explorer 11 で閲覧した際から警告を表示し、徐々に、対象の証明書と対処の利用シナリオの範囲を広げます。
| 措置対象 | 段階 1 | 段階 2 | 段階 3 |
|---|---|---|---|
| SHA-1 TLS サーバー証明書 | Microsoft Edge および IE11 利用時: 鍵アイコン非表示 | Microsoft Edge および IE11 利用時: 信頼しないサイト警告表示 | 全アプリケーション: 警告表示または利用不可措置 |
| SHA-1 コード署名証明書 | 影響なし | 影響なし | ファイルダウンロード時の警告または利用不可 |
| それ以外の SHA-1 証明書 | 影響なし | 影響なし | 警告表示または利用不可措置 |
注意事項
すべての SHA-1 証明書利用制限措置は、マイクロソフトルート証明書更新プログラムに参加しているルート証明機関から発行された証明書のみに行われます。参加しているルート証明機関は、Microsoft Trusted Root Certificate Program Updates にある最新のリストから確認できます。
Windows 証明書サービスや Active Directory Certificate Services (ADCS) などを利用している社内用証明機関や、自己署名証明書は、SHA-1 利用廃止措置の対象外です。
(2) SHA-1 の TLS サーバー証明書に対する制限措置 詳細
(2-1) TLS 証明書に対する廃止措置 ロードマップ
段階 1 (現在)
Microsoft Edge および Internet Explorer 11 で SHA-1 TLS サーバー証明書を使用するウェブサイトを閲覧すると、安全なサイトを示す「鍵アイコン」が表示されません。
段階 2 (2017年5月以降)
SHA-1 TLS サーバー証明書を使用するサイトにアクセス時、ブラウザが「信頼しないサイト」警告を表示します。
段階 3 (開始時期未定)
Internet Explorer 10 以前およびその他アプリケーションでも SHA-1 TLS 証明書の警告またはブロックを実施予定。最新情報は https://aka.ms/sha1 を参照。
(2-2) 対象となる証明書、ウェブサイト
対象条件(両方満たす場合):
- SHA-1 TLS サーバー証明書を使用
- マイクロソフトルート証明書プログラム参加CAが発行
対象外:
- 非プログラム参加CAの発行証明書
- 自己署名証明書
(2-3) 影響確認方法
確認対象者: インターネット公開ウェブサーバー管理者
手順:
- Internet Explorer 11 および Microsoft Edge を最新版に更新
- 対象ウェブサイトにアクセス
- SHA-1 証明書使用サイトでは鍵アイコンが非表示
ログ採取手順:
set LogDir=C:\Log
mkdir %LogDir%
icacls %LogDir% /grant *S-1-15-2-1:(OI)(CI)(F)
icacls %LogDir% /grant *S-1-1-0:(OI)(CI)(F)
icacls %LogDir% /grant *S-1-5-12:(OI)(CI)(F)
icacls %LogDir% /setintegritylevel L
Certutil -setreg chain\WeakSignatureLogDir %LogDir%
Certutil -setreg chain\WeakSha1ThirdPartyFlags 0x80040004
ログ設定解除:
Certutil -delreg chain\WeakSha1ThirdPartyFlags
Certutil -delreg chain\WeakSignatureLogDir
(3) 参照情報
- 日本語ガイダンス: https://aka.ms/sha1guidance
- 最新情報(英語): https://aka.ms/sha1
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
![]( "办公AI智能小助手")
)
)
