2015年12月22日火曜日

【備忘録】ChromeにてSHA-1証明書が使えなくなるまでのフェーズへもうすぐ突入

【お知らせ】Chrome 45では TLS 1.0への安全でないフォールバックが無効になり、アクセス不可のサイトがちらほら(2015年9月)の記事で若干触れていましたが、Googleは、SHA-1証明書を使ったSSLサイトをChromeで2017年1月1日より使えなくなる計画を発表していました。

さて、これについて新しい情報がでてきたのでお知らせです。

関連情報


フェーズ1 新規 SHA-1証明書をブロック

Chrome 48(2016年早期リリース)にて対応。下記に該当すれば証明書エラーが表示されるとのこと。

  • 2016年1月1日以降に公的認証局(public CA)にて発行した SHA-1証明書を使ったSSLサイトは、Chrome 48以降ではアクセス出来なくなります。
ということなので、来年からはSHA-1証明書をやめましょうということ。
Microsoftでも、「マイクロソフト、SHA-1廃止の前倒しに言及(ZDNet Japan)」などの記事を見ると、SHA-1証明書のサポート終了日を前倒しにすることを検討しているとか。流れ的にはSHA-1証明書は廃止の方向へ行っているので、それに合わせていくのがよいかなと思います。

まぁ、そもそも公的証明局(public CA)で、 SHA-1証明書を発行してもらえないようになるとは思うので、まだ影響は軽微なのじゃないかなーとは思います。

フェーズ2 全 SHA-1証明書をブロック

2017年1月1日より、全ブロックとのことです。
具体的には公的認証局にて発行したSHA-1証明書を使ったSSLサイトへのアクセスは、致命的なネットワークエラーになってアクセスできないということです。

同時に、Microsoft EdgeやFirefoxも、2017年1月1日(前倒しの可能性あり)を視野に廃止に向けて移行をすすめているということなので、この段階までには SHA-256証明書への移行を完了しておくことが必須になりそうですね!

Chrome 48より、RC4暗号スイートを使ったTLS接続もブロック

そんなに影響は出ないと思いますが、2016年1月以降の早期にリリースされる Chrome 48にしたとたん、アクセスできないサイトが出てくるかもしれません。まぁ RC4をストップされたとしても、他の暗号スイートも合わせて設定しているはずで、問題はでないと思いたい。

RC4が使われているかどうかは
でチェックするとよいでしょう(RC4  yes  とか赤文字で書かれてたらアウト。セッションハイジャックの手法も公開されているようなので、本件に関わらずRC4無効化推奨)。
ウェブ管理者でApacheなら「SSLCipherSuite」にてRC4を設定していないかチェックするとよいと思います。

どのような設定がよいのか、ちょっと1年前の情報になってしまいますが
が参考になるかなと思います。
もちろん、TLS 1.2プロトコル対応し、ECDHE_RSA_WITH_AES_128_GCMの暗号強度があればいいのですが、それなりに古いサーバーではそういうわけにもいきませんので、そのあたりは出来る限り対応しておくということにはなるかなと思います。

2015年12月22日 @kimipooh



0 件のコメント:

コメントを投稿

Google+ Badge