社内システムをつくろう!

社内システムをつくろう!

あるシステム担当のブログ。本サイトのご利用は自己責任にてお願い致します。

SHA1証明書を利用しているサイトには『完全にアクセスできなくなる』のか?

f:id:Lync:20170304010027p:plain

 

先日、下記のようなサイトを見かけた。

▶『企業サイトが表示されなくなる日、迫る「SHA-2移行問題」 | IT Leaders

 

一見すると、SHA1証明書を利用したサイトには、完全にアクセスできなくなるような印象を受ける。内容を見てもそんな感じだ。

本当にそうなのか?今回は、少し気になって調査・検証してみた。

 

SHA1証明書を利用しているサイトには『完全にアクセスできなくなる』のか?

 

結論から言うと、SHA-1サイトが2017年1月以降で完全に見えなくなるわけではないようだ。

 

参考サイト:

 

 

また、念のためSHA1の自己証明書を利用したWebサーバを作成して、ブラウザでアクセスしてみた。FireFox、GoogleChromeそれぞれ最新版でアクセスしてみたが特段アクセスできないことはなかった(2017/3/4時点の検証)。

参考までにChromeの画面ショットがこれだ。

 

▼Google Chromeでの検証結果。

Webサイトにアクセスすると警告画面は表示されるものの…

f:id:Lync:20170304005243j:plain

画面下の〜にアクセスする(安全ではありません)をクリックすると、ページが正常に表示された。

f:id:Lync:20170304005522j:plain

 

ただ、企業サイトにおいてアクセス時にセキュリティ警告画面が表示されてしまってはユーザにびっくりされてしまう。また、SHA-1の脆弱性を悪用される危険性が高まっていることに変わりはない。

そのため、サイト運営者にとっては実質的に適用は必須となるだろう。


しかし、検証サイトなどにおける自己証明書にSHA1証明書を使うこと自体に問題はなさそうだ。(本番データは置かない、一般に公開しないなどのセキュリティの対策は別途取る必要がある)

 

とはいえ、Microsoftでは、将来的にSHA1証明書を利用できなくなることも検討されているらしい。


 

いずれにしてもSHA1を本番サービスで利用しているサイト管理者は、早めの対応が必要となりそうだ。