最近、SSL暗号化にもよく使われるハッシュアルゴリズムSHA-1の安全性低下のアナウンスがあちこちから聞かれるようになってきました。
ハッシュアルゴリズムSHA-1の近況について
ジオトラストのページでも、端的に紹介してあって、
ハッシュアルゴリズムSHA-1の安全性低下に関する続報とSHA-2対応版SSLサーバ証明書への切替に関する再度のご案内 | GeoTrust
- SHA-1に対する攻撃がこれまで想定されていたより少ないコストで実行可能になるという主旨の報告があった。
- SSLサーバ証明書が偽造されるリスクが高まっている。
- SHA-1の利用期限は「2017年1月1日まで」と設定されているけど、早めにSHA-2を用いたSSLサーバ証明書に切り替えてね。
ということが紹介されています。
SHA-2に自社が対応してるかチェック
では、自社のHPがSHA-2に対応しているかどうかをチェックする方法です。
自社のHPに https://~ で始まるページにアクセスし、アドレスバーの鍵マークをクリックしてから、「証明書の表示」です。
証明書のウィンドウが開きますので、[詳細]タブを開きます。
「sha1」と書かれていたら、まだSHA-1のSSL証明書。
「sha256」と書かれていたら、SHA-2のSSL証明書です。
切り替えのデメリット
もちろん将来はすべてのサイトがSHA-2に切り替えなければいけないのですが、デメリットとして、
当社SSL証明書の「SHA-2」方式への変更について|ジャパンネット銀行
に書かれているとおり、
- Windows XP SP2以前のOS
- Mac OS X 10.5未満のOS
- Internet Explorer 6.0 未満、Firefox 1.0未満、Opera 9.5未満、Safari 3.1未満、Google Chrome 1.0未満のブラウザ
- あと、古い携帯電話(ガラケー)
などが、SSL対応サイトにアクセスできなくなります。
ですので、お客様の対応状況を見て、切り替えていくことになります。
現時点でのSHA-2対応状況
銀行サイトでいうと、
- ゆうちょ銀行
- ジャパンネット銀行
- 楽天銀行
- 住信SBI銀行
などがSHA-2に対応しています。ですが、
- みずほ銀行
- 三井住友銀行
- 三菱東京UFJ銀行
の3大バンクは、今のところSHA-1のままのようです。
とはいえ、近々対応される予定ですので、もしSSLを自社で使っている担当者さんがこのページを見ていたら、気にとめておいてくださいね!