「SHA-1証明書」の無効化を表明、Apple

Appleは「SHA-1で署名されたTLS証明書は、信頼できるものとは見なさない」と表明した。今後、SHA-1の証明書を使っているWebサイトは、主要なブラウザ全てでブロックされる。

[鈴木聖子，ITmedia]

　Appleは2019年6月5日、以前より危険性が指摘されてきたハッシュアルゴリズム「SHA-1」を使った「TLS証明書」を無効とする方針を表明した。SHA-1証明書は、「Google Chrome」「Mozilla Firefox」「Microsoft Edge」（Edge）、「Internet Explorer（IE）11」でも既に対応が打ち切られており、これで主要ブラウザの対応が出そろったことになる。

2019年6月5日、Appleが公式サイト内でSHA-1証明書の無効化を表明した

対応終了のいきさつとAppleの今後の対応は？

　Appleは「iOS 13」と「macOS 10.15」における証明書の条件に関する規定の中で、「TLSサーバ証明書と証明書を発行する認証局は、SHA-2のハッシュアルゴリズムを使用しなければならない。SHA-1で署名されたTLS証明書は、信頼できるものとは見なさない」と明記している。

　同社の公式リリースによれば、「新しい条件に違反したTLSサーバに対する接続は失敗し、ネットワーク障害やアプリ障害、iOS 13とmacOS 10.15のSafariでのWebサイト読み込み失敗が発生する可能性がある」とのこと。

　SHA-1は何年も前から脆弱（ぜいじゃく）性が指摘され、業界はSHA-2への移行を推進してきた。GoogleやMozilla、Microsoftは段階的な廃止の予定を前倒しして、既にSHA-1証明書を使ったWebサイトをブロックする措置を講じている。

　2017年にはGoogleが、理論上の可能性が指摘されていた「SHA-1衝突」を初めて成功させたと発表し、SHA-1の脆弱性が悪用される危険性は一層高まっていた。