ここから本文です

SHA-1証明書、MicrosoftのEdgeとIE 11でも無効に

5/11(木) 9:11配信

ITmedia エンタープライズ

 米Microsoftが、5月9日に公開したWebブラウザ「Edge」と「Internet Explorer(IE)11」の更新版で、危険性が指摘されているハッシュアルゴリズム「SHA-1」の証明書を使っているWebサイトをブロックする措置を講じた。

【マイクロソフト セキュリティ アドバイザリ】

 今回の更新に伴い、SHA-1証明書を使っているサイトはEdgeとIE 11では読み込まれなくなり、無効な証明書として警告が表示されるようになる。例外として、エンタープライズ証明書やSHA-1の自己署名証明書は影響を受けないものの、できるだけ早くSHA-2ベースの証明書に移行するよう呼び掛けている。

 SHA-1を巡っては、脆弱性を悪用される危険性が高まったことを受け、主要なWebブラウザメーカーや電子証明書の発行機関が段階的な廃止を進めていた。

 MozillaのFirefoxは3月に公開された「Firefox 52」から、SHA-1がデフォルトで無効になった。Googleも、1月に公開した「Chrome 56」で、SHA-1を使った証明書のサポートを完全に打ち切っている。

 Googleなどの研究チームは2月に、理論上の可能性が指摘されていた「SHA-1衝突」を初めて成功させたと発表していた。