Google、2017年1月公開の「Chrome 56」でSHA-1対応を完全廃止

2017年1月末に安定版がリリース予定のWebブラウザ「Chrome 56」で、SHA-1を使った証明書のサポートを完全に打ち切る。

» 2016年11月21日 07時00分 公開
[鈴木聖子ITmedia]

 米Googleは以前から危険性が指摘されているハッシュアルゴリズムの「SHA-1」について、2017年1月末に安定版がリリース予定のWebブラウザ「Chrome 56」でSHA-1を使った証明書のサポートを完全に打ち切ると発表した。

「Chrome 56」安定版のリリースは2017年1月末の予定(Googleより)

 Googleの11月16日付のブログによると、バージョン56以降のChromeでは、SHA-1証明書を使ったWebサイトは安全とみなされなくなり、ユーザーがそうしたWebサイトを閲覧しようとすると警告が表示されるようになる。

 Webサイト管理者は自分のWebサイトで使用している証明書を確認し、もしまだSHA-1を使っている場合は直ちに認証局に連絡を取って、SHA-256を使った証明書に切り替える必要がある。

 米セキュリティ企業のVenafiによると、同社が最近、1100万以上のWebサイトを調べたところ、まだ35%がSHA-1証明書を使い続けていることが分かったという。こうしたWebサイトの多くはこのまま放置すればどうなるかを知らないまま、2017年に入って混乱に見舞われるのではないかと同社は推測している。

Webサイトの35%ではSHA-1証明書が使われているという(Venafiより)

 主要WebブラウザではMicrosoftのEdgeとInternet Explorer(IE)およびMozilla Firefoxも、段階的なSHA-1のサポート廃止を進めている

Copyright © ITmedia, Inc. All Rights Reserved.