ニュース
SHA-1証明書、MicrosoftのEdgeとIE 11でも無効に
SHA-1証明書を使っているサイトはEdgeとIE 11では読み込まれなくなり、無効な証明書として警告が表示されるようになる。
米Microsoftが、5月9日に公開したWebブラウザ「Edge」と「Internet Explorer(IE)11」の更新版で、危険性が指摘されているハッシュアルゴリズム「SHA-1」の証明書を使っているWebサイトをブロックする措置を講じた。
今回の更新に伴い、SHA-1証明書を使っているサイトはEdgeとIE 11では読み込まれなくなり、無効な証明書として警告が表示されるようになる。例外として、エンタープライズ証明書やSHA-1の自己署名証明書は影響を受けないものの、できるだけ早くSHA-2ベースの証明書に移行するよう呼び掛けている。
SHA-1を巡っては、脆弱(ぜいじゃく)性を悪用される危険性が高まったことを受け、主要なWebブラウザメーカーや電子証明書の発行機関が段階的な廃止を進めていた。
MozillaのFirefoxは3月に公開された「Firefox 52」から、SHA-1がデフォルトで無効になった。Googleも、1月に公開した「Chrome 56」で、SHA-1を使った証明書のサポートを完全に打ち切っている。
Googleなどの研究チームは2月に、理論上の可能性が指摘されていた「SHA-1衝突」を初めて成功させたと発表していた。
関連記事
- IEとEdge、7月からSHA-1証明書使用サイトの鍵アイコン消滅
7月にリリースされる「Windows 10 Anniversary Update」以降、EdgeとIEではSHA-1証明書を使ったWebサイトが安全とは見なされなくなる。 - SHA-1衝突攻撃がついに現実に、Google発表 90日後にコード公開
GoogleはSHA-1ハッシュが同じでコンテンツが異なる2つのPDFも公表した。90日後には、こうしたPDFを生成するためのコードを公開するとも予告している。 - 「Firefox 52」公開、非HTTPSページでの入力に警告 NPAPIプラグインは無効化
HTTPSで暗号化されていないページでユーザー名やパスワードを入力しようとすると、警告のポップアップが表示される。SliverlightやJavaなどのNPAPIプラグインは、Flashを除き、全て無効化された。 - 「Chrome 56」の安定版リリース リロードが28%高速化、HTTPでの警告を追加
Googleがデスクトップ版Chromeをバージョン56にアップデートした。特にFacebookで時間のかかっていたページのリロードが28%高速化し、Firefox 51と同様のHTTPページでの警告が追加された。 - ゼロデイ攻撃も防ぐ? Edgeブラウザのセキュリティ新機能
Windows 10の次のアップデートには、Edgeブラウザのセキュリティを高める「Windows Defender Application Guard for Microsoft Edge」が搭載される見込みだ。この機能はどのようなものだろう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.