なぜ SHA-2 SSL/TLS サーバ証明書に移行すべきなのですか?
デジサートはお客様のセキュリティパートナーとして、発行するすべての SSL/TLS サーバ証明書のデフォルトを SHA-256 とし、すべてのお客様に SHA-1 (Secure Hash Algorithm 1)証明書を SHA-2 に更新することを強くお勧めしています。これは、少なくとも 2006 年以降、SHA-1 は安全とみなされていないためです。事実、NIST (米国商務省標準化技術研究所) は 2011 年に SHA-1 の使用を取りやめ、2013 年には電子署名への使用を禁止しました。暗号解読の研究者は、SHA-1 証明書に関するリスクが従来の予想を超えて高まっているとして、管理者に SHA-1 証明書を交換するよう警鐘を鳴らしています。
SHA-1 証明書を素早く検出して交換するにはどうしたらいいですか?
DigiCert CertCentral® のクラウドベースの Discovery ツールを使えば、SHA-1 SSL/TLS サーバ証明書を素早く検出し、無料でデジサートの SHA-2 証明書に交換できます。デジサートの Discovery ツールなら、極めて複雑な分散ネットワークから証明書をスキャンできます。私たちは、 発行した認証局やプライベート/パブリックの区別なく、すべての証明書を監視するための複数のスキャンオプションを提供しています。
TLS/SSH (Secure Shell Key) Discovery は、ネットワークに存在する TLS 証明書と SSH 鍵を徹底的にスキャンするのに役立つ 2 つのコンポーネントで構成されます。
- クラウドスキャン - パブリックに公開されているサーバーの TLS 証明書を素早く簡単に検索します。インストールは不要で、CertCentral の UI からすぐに開始できます。
- ネットワークスキャン - 複雑な分散ネットワーク全体からパブリックおよびプライベート TLS 証明書をすべて検出します。環境を徹底的にスキャンしてレポートを作成し、すべての TLS 証明書と SSH 鍵を完全に可視化します。
SHA-2 への切り換えはいつ行うべきですか?
Google、Mozilla、Microsoft はすでに SHA-1 SSL/TLS サーバ証明書の信用を段階的に縮小しています。以前、Chrome は SHA-1 証明書を使用しているサイトに SHA-1 の警告も表示していました。SHA-1 証明書を SHA-2 証明書にまだ交換していない管理者は、今すぐ交換に着手する必要があります。
2014 年 8 月、Google は、SHA-1 の安全性が不十分なため、SHA-1 証明書で保護されたサイトに対して 2014 年 11月から Chrome に警告を表示すると表明し、さらに一歩踏み込んだ姿勢を示しました。その裏には、SHA-1 証明書の段階的な廃止を前倒しし、移行を MD5 (Message Digest Algorithm 5)よりもスムーズにしたいという Google の思いがあります。
2015 年 10 月、国際的な暗号解読者のチームが SHA-1 に伴うリスクはこれまでの予想よりも大きいとして、管理者に SHA-1 証明書をできるだけ早く交換するよう呼びかける研究結果を発表しました。この研究結果は理論上のものであり、実用的な環境ではまだ検証されていません。目の前に危険が迫っているようには見えないかもしれませんが、デジサートはなるべく早く SHA-2 に移行することを強くお勧めします。
管理者は、この更新がもたらす可能性のある影響を考え、以下の内容について計画する必要があります。
- SHA-2 と互換性のあるハードウェア
- SHA-2 をサポートするサーバーソフトウェアの更新
- クライアントソフトウェアでの SHA-2 のサポート
- カスタムアプリケーションでの SHA-2 のサポート
従来、ブラウザと認証局は 2017 年までに SHA-2 に移行することを推奨してきましたが、今回の調査によれば、組織は SHA-2 をサポートするために既存のインフラストラクチャをアップグレードする計画を前倒しする必要があるようです。SHA-2 のタイムラインについては、SHA-2 の FAQをご覧ください。