SHA-1証明書からSHA-2証明書への移行について(2014/11/13)

現在、「SHA-1」ハッシュ関数の危殆化を背景に、著名ブラウザー開発元である各社から強固な暗号化が可能な「SHA-2」を採用したSSL証明書への移行が勧告されています。

当サービスにおいては、2014年11月13日より、署名アルゴリズム「SHA-2」を選択の上、SSL証明書の新規発行・更新・再発行を行うことが可能となりましたので、本ページの内容をご確認の上、「SHA-2」への移行をご検討ください。

※ネットオウルのサーバーサービス(ミニバード、ファイアバード、クローバー)でSSL証明書をご利用の場合は、本ページの対応は必要ございません。別途対応方法についてお知らせいたしますので、今しばらくお待ちください。

本ページに記載の内容は、2014年11月13日時点で判明している情報に基づいています。
以降変更される可能性や、一部に推測を含む点など、予めご了承願います。

SSL証明書の署名アルゴリズム確認方法

現在お使いのSSL証明書が、いずれの署名アルゴリズムによって発行されたものかは、
下記のような手順で確認することが出来ます。

※2014年11月13日までに、当サービスにおいて発行されたSSL証明書は全て「SHA-1」です。

Internet Explorerの場合
  1. アドレスバー近辺に表示されている「鍵マーク」をクリックし、続けて「証明書の表示」をクリックします。

    署名アルゴリズム確認-IE-01
  2. 「詳細」タブをクリックし、「署名アルゴリズム」に関する項目を確認してください。

    署名アルゴリズム確認-IE-02
Mozilla Firefoxの場合
  1. アドレスバーに表示されている「鍵マーク」をクリックし、続けて「詳細を表示」をクリックします。

    署名アルゴリズム確認-Firefox-01
  2. 「セキュリティ」タブ内の、「証明書を表示」ボタンをクリックします。

    署名アルゴリズム確認-Firefox-02
  3. 「詳細」タブをクリックし、証明書のフィールドより「Certificate Signature Algorithm」を選択の上、フィールドの値に表示された内容を確認してください。

    署名アルゴリズム確認-Firefox-03
Google Chromeの場合
  1. アドレスバーに表示されている「鍵マーク」をクリックし、続けて「接続」タブをクリックしてください。

    タブ内の「証明書情報」をクリックします。

    署名アルゴリズム確認-Chrome-01
  2. 「詳細」タブをクリックし、「署名アルゴリズム」に関する項目を確認してください。

    署名アルゴリズム確認-Chrome-02

SHA-1に関する各ソフトウェアベンダーの指針

SHA-1版のSSL証明書に関する、主要なソフトウェアベンダーの指針は概ね以下の通りです。

各ソフトウェアベンダーの指針概要
Microsoftの指針

Microsoftは、2013年11月に、「Windows Root Certificate Program - Technical Requirements version 2.0」において、SHA-1証明書に関する今後の方針を表明しました。

  • 認証局は、2016年1月1日までに、SHA-1証明書の発行を停止しなければならない
  • Windows製品において、2017年1月1日以降、SHA-1証明書のSSL通信を拒否する

※2017年1月1日以降、SSLサーバー証明書の発行元や有効期限に関わらず、Windows製品におけるSHA-1証明書のSSL通信が拒否されます。

警告表示例

下記のような警告画面が表示されることが推測されます。

ブラウザでの警告表示予測イメージ
Googleの指針

Googleは、2014年9月に、Chromium Blogの「Gradually Sunsetting SHA-1」において、SHA-1証明書に関する今後の方針を表明しました。

  • SHA-1証明書が使用されているウェブサイトのSSL通信について、今後リリース予定のChrome 39 〜 41で段階的にアドレスバーの表示を変更する
Chromeのリリース予定
  • Chrome 39 … 安定版を2014年11月にリリース予定(2014年9月末にブランチリリース)
  • Chrome 40 … 安定版を2015年1月にリリース予定(2014年11月にブランチリリース)
  • Chrome 41 … 安定版を2015年3月にリリース予定(2015年1月以降にブランチリリース)
Googleの指針概要
SHA-1版の証明書におけるアドレスバー表示パターン
有効期限 ウェブサイト訪問者への影響(アドレスバー表示)
2017年1月1日
以降

Chrome 39以降で、サイト訪問時のアドレスバー表示が変更され、以降、段階的に表示が変更されていきます。

Chrome39以降でのアドレスバー表示パターン
2016年6月1日

2016年12月31日
Chrome40以降でのアドレスバー表示

Chrome 40以降で、サイト訪問時のアドレスバー表示が変更(黄色いマーク付きの鍵アイコン)されます。

2016年1月1日

2016年5月31日
Chrome41以降でのアドレスバー表示

Chrome 41以降で、サイト訪問時のアドレスバー表示が変更(黄色いマーク付きの鍵アイコン)されます。

Mozillaの指針

Mozillaは、2014年9月に、Mozilla Security Blogの「Phasing Out Certificates with SHA-1 based Signature Algorithms」において、SHA-1証明書に関する今後の方針を表明しました。

  • SHA-1証明書が使用されているウェブサイトのSSL通信について、今後2015年早期にリリース予定のFirefoxで、サイトへ接続をした際に、セキュリティ警告及びエラーを表示する
2015年早期にリリース予定のFirefoxにおける利用者への影響

有効期限が2017年1月1日以降のSHA-1証明書の場合、アドレスバー上に下記のような警告が表示されます。

Firefoxでの警告表示1
2015年早期のリリース後のバージョンで見込まれる利用者への影響

下記のような証明書において、「信頼されない接続」である旨のエラー画面が表示されます。

  • 2016年1月1日以降に発行されたSHA-1証明書
  • 有効期限が2017年1月1日以降のすべてのSHA-1証明書
Firefoxでの警告表示2

※将来的に、サイトコンテンツを表示できない(エラー画面から進めない)状態にする可能性も示唆されています。

SHA-1証明書に関するSSL発行ベンダーの指針

「Ballot 118 - SHA1 Sunset」において、下記のような議論がなされています。

  • 2015年1月16日以降、有効期限が2017年1月1日以降となるSHA-1証明書は発行するべきではない
  • 2016年1月1日以降は、SHA-1証明書を発行してはならない
SSL発行ベンダーの指針概要

ブラウザ・携帯端末への対応状況について (2015年4月23日更新)

当サービスで取り扱っているSSLブランドにおける、ブラウザや携帯端末などへの各種対応状況は、下記をご参照ください。

2014年11月13日時点、SHA-1とSHA-2では、特に携帯電話(フィーチャーフォン)への対応状況が大きく異なりますので、携帯電話での利用を想定されている方は、事前によくご確認ください。

また、サーバー等も含めた、より幅広いプラットフォームの対応状況についてはこちら(ページ内のプラットフォーム対応状況)もご参照ください。

SHA-2証明書への移行について (2014年12月17日更新)

当サービスでは、ネットオウル以外のサーバーでご利用の証明書である場合、新規発行時はもちろん、更新や再発行の際にも、「SHA-2」方式を選択の上、証明書を発行することが可能です。
各種申請時のフォームに、「署名アルゴリズム」という項目がありますので、「SHA-2(SHA256)」を選択の上、申請してください。

(2014年12月17日更新)
ネットオウルのサーバーサービス(ミニバード、ファイアバード、クローバー)でSSL証明書をご利用の場合、2014年12月16日以降に新規発行または更新を行う証明書に関しては、「SHA-2」の証明書を発行いたします。
また、2016年1月1日以降を期限とする「SHA-1」のSSL証明書をお使いの方に関しては、再発行機能をご利用の上、「SHA-2」のSSL証明書にご変更いただくことが可能です。

再発行手順については、上記と同様「再発行について」をご参照ください。

また、「SHA-2」証明書へ変更する際には、中間証明書もSHA-2専用のものに変更する必要があります。
下記をご参照の上、あわせて変更を行ってください。