ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

SHA-1証明書、MicrosoftのEdgeとIE 11でも無効に

» 2017年05月11日 09時00分 公開
[鈴木聖子ITmedia]

 米Microsoftが、5月9日に公開したWebブラウザ「Edge」と「Internet Explorer(IE)11」の更新版で、危険性が指摘されているハッシュアルゴリズム「SHA-1」の証明書を使っているWebサイトをブロックする措置を講じた。

EdgeもSHA-1

 今回の更新に伴い、SHA-1証明書を使っているサイトはEdgeとIE 11では読み込まれなくなり、無効な証明書として警告が表示されるようになる。例外として、エンタープライズ証明書やSHA-1の自己署名証明書は影響を受けないものの、できるだけ早くSHA-2ベースの証明書に移行するよう呼び掛けている。

 SHA-1を巡っては、脆弱(ぜいじゃく)性を悪用される危険性が高まったことを受け、主要なWebブラウザメーカーや電子証明書の発行機関が段階的な廃止を進めていた。

SHA-1衝突 Googleが、異なるファイルなのに同じハッシュ値を持つものが出てくる可能性があることを実証した(出典:Google)

 MozillaのFirefoxは3月に公開された「Firefox 52」から、SHA-1がデフォルトで無効になった。Googleも、1月に公開した「Chrome 56」で、SHA-1を使った証明書のサポートを完全に打ち切っている。

 Googleなどの研究チームは2月に、理論上の可能性が指摘されていた「SHA-1衝突」を初めて成功させたと発表していた。

関連キーワード

SHA-1 | Internet Explorer | IE 11 | Microsoft | Microsoft Edge


Copyright © ITmedia, Inc. All Rights Reserved.