Google、「SHA-1」サポート中止のスケジュールを発表

[鈴木聖子，ITmedia]

　米Googleは9月5日、データの改ざん検知などに使われるハッシュ関数の「SHA-1」の脆弱性が指摘されていることを受け、11月にリリース予定の「Chrome 39」からSHA-1のサポートを段階的に廃止すると発表した。

　SHA-1を巡っては、安全度が低くなって「衝突攻撃」と呼ばれる攻撃も容易になりつつあるとGoogleは指摘する。主要ブラウザと電子証明書を発行する認証局の業界団体CA/Browser Forumは2011年、全認証局に対してできるだけ早くSHA-1の使用を段階的に中止するよう勧告。他の業界団体も同様の勧告を行っていた。

　こうした現状に対応して11月に正式版が公開されるChrome 39では、2017年1月1日以降に失効するエンドエンティティ証明書（リーフ証明書）でSHA-1ベースの署名を使っているHTTPSサイトについて、「セキュアだがマイナーなエラーあり」と認識。URL欄に表示されるHTTPSの鍵のアイコンに黄色い三角マークが付くようになる。

　次いでホリデーシーズン後に安定版となるChrome 40では、2016年6月1日〜同年12月31日までの間に失効する証明書でSHA-1を使っているHTTPSサイトについて同様の措置を導入する。2017年1月1日以降に失効する証明書でSHA-1を使っている場合は安全性が欠如していると判断され、鍵アイコンが表示されなくなる。

　2015年に公開のChrome 41では、2016年1月1日から同年12月31日の間に失効する証明書でSHA-1を使っているHTTPSサイトを「セキュアだがマイナーなエラーあり」と認識。さらに、2017年1月1日以降に失効する証明書でSHA-1を使っている場合は安全でないサイトと認識され、鍵マークに赤いバツ印が付いてhttpsの文字の上に取り消し線が引かれる。

　なお、信頼できるルート証明書のSHA-1ベース署名については、TLSクライアントでの安全性の判定にハッシュの署名が使われていないことから、問題にならないとしている。