速報
» 2019年06月10日 07時00分 公開

「SHA-1証明書」の無効化を表明、Apple

Appleは「SHA-1で署名されたTLS証明書は、信頼できるものとは見なさない」と表明した。今後、SHA-1の証明書を使っているWebサイトは、主要なブラウザ全てでブロックされる。

[鈴木聖子,ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Appleは2019年6月5日、以前より危険性が指摘されてきたハッシュアルゴリズム「SHA-1」を使った「TLS証明書」を無効とする方針を表明した。SHA-1証明書は、「Google Chrome」「Mozilla Firefox」「Microsoft Edge」(Edge)、「Internet Explorer(IE)11」でも既に対応が打ち切られており、これで主要ブラウザの対応が出そろったことになる。

photo 2019年6月5日、Appleが公式サイト内でSHA-1証明書の無効化を表明した

対応終了のいきさつとAppleの今後の対応は?

 Appleは「iOS 13」と「macOS 10.15」における証明書の条件に関する規定の中で、「TLSサーバ証明書と証明書を発行する認証局は、SHA-2のハッシュアルゴリズムを使用しなければならない。SHA-1で署名されたTLS証明書は、信頼できるものとは見なさない」と明記している。

 同社の公式リリースによれば、「新しい条件に違反したTLSサーバに対する接続は失敗し、ネットワーク障害やアプリ障害、iOS 13とmacOS 10.15のSafariでのWebサイト読み込み失敗が発生する可能性がある」とのこと。

 SHA-1は何年も前から脆弱(ぜいじゃく)性が指摘され、業界はSHA-2への移行を推進してきた。GoogleやMozilla、Microsoftは段階的な廃止の予定を前倒しして、既にSHA-1証明書を使ったWebサイトをブロックする措置を講じている。

 2017年にはGoogleが、理論上の可能性が指摘されていた「SHA-1衝突」を初めて成功させたと発表し、SHA-1の脆弱性が悪用される危険性は一層高まっていた。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -