Japan
このブログでは、Google から開発者のみなさま向けの情報をいち早くお届けします。
Chrome の SHA-1 証明書
2016年11月29日火曜日
[この記事は Andrew Whalley、Chrome セキュリティによる Google Online Security Blog の記事 "
SHA-1 Certificates in Chrome
" を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。]
以前より、Google Chrome での SHA-1 証明書のサポート終了計画について、
複数回
にわたって
お知らせ
してきました。この投稿では、最終的なサポートの終了について、最新情報をお伝えします。
SHA-1 暗号化ハッシュ アルゴリズムは、11 年以上前に最初の
脆弱性が発見
されました。また、
最近の研究
では、Web PKI の完全性に直接的に影響する攻撃の可能性が高まっていることが指摘されています。このような攻撃からユーザーを守るため、今後 Chrome では SHA-1 アルゴリズムを使用した証明書が信頼されなくなり、SHA-1 証明書を使用しているサイトにアクセスした場合は全面に警告が表示されます。
リリース スケジュール
2017 年 1 月末頃
に安定版チャンネルにリリースされる Chrome 56 で、SHA-1 証明書のサポートが廃止される予定です。サポートの廃止は、
Chrome リリース プロセス
に従い、Dev チャンネルからベータ版チャンネル、安定版チャンネルの順に実施される予定です。動作の変更は、日付に基づくものではありません。
ウェブサイトの運営者は、SHA-1 証明書の利用状況を
確認
し、SHA-1 証明書が利用されている場合は、すぐに CA に連絡して SHA-256 ベースの証明書と置き換えてください。
プライベート PKI での SHA-1 の利用
以前の投稿では、パブリック CA にチェーンされた証明書と、企業内のプライベート PKI の証明書など、ローカルにインストールされたトラスト アンカーにチェーンされた証明書を区別していました。私たちは、ごく一部の企業がリスクを認識した上で SHA-1 証明書の使用を続けると決断する可能性があるものと認識しています。
Chrome 54
以降では、
EnableSha1ForLocalAnchors
ポリシー
を設定できます。これは、Chrome でサポートが廃止された後でも、ローカルにインストールされたトラスト アンカーにチェーンされた証明書の使用を許可するためのものです。位置情報などの
セキュアオリジン
が必要な機能は、動作は続けるものの、ページに "neutral, lacking security" である旨が表示されます。2017 年 3 月に安定版チャンネルにリリースされる予定の Chrome 57 以降では、このポリシーが設定されていない場合、ローカルにインストールされたルートへのチェーンを使用する SHA-1 証明書は信頼されなくなります。なお、このポリシーが設定されていなくても、クライアントの認証をリクエストするウェブサイトには、SHA-1 クライアント証明書が提示されます。
このポリシーは、SHA-1 からの移行が間に合わない場合に猶予期間を与えることだけを意図したものです。そのため、2019 年 1 月 1 日以降の最初の Chrome のリリースで削除される予定です。
Chrome では極力、ホスト OS が提供する証明書の検証ライブラリを使用するため、基盤となる暗号化ライブラリで SHA-1 証明書のサポートが無効になると、このオプションの効果はなくなります。その時点で、SHA-1 証明書は無条件にブロックされることになります。また、SHA-1 暗号化に重大な欠陥が判明した場合は、2019 年以前にサポートが廃止される可能性もあります。SHA-1 証明書の使用はできるだけ速やかに中止することをお勧めします。また、前述のポリシーを有効にする場合は、前もって社内のセキュリティ チームに相談することもお勧めします。
Posted by
Eiji Kitamura - Developer Relations Team
コメントを投稿
ラベル
#DevFest16
1
#hack4jp
3
Addy Osmani
1
ADK
2
AdMob
13
Ads
7
Agency
1
ALPN
1
AMP
17
Analytics
9
Andorid
9
Android
192
Android Auto
1
Android Design Support Library
1
Android Developer Story
3
Android N
16
Android Pay
1
Android Studio
17
Android Support Library
3
Android TV
8
Android Wear
21
androidmarket
3
Angular 2
1
AngularJS
2
API
22
APIExpert
45
apk
1
app engine
21
App Indexing
7
App Invites
6
AppCompat
2
Apps Script
6
aprilfool
3
ArtTech
1
Audio
3
Auth Code
1
Authentication
5
AuthSub
2
Autotrack
2
Awareness API
1
Beacons
6
BigQuery
8
BLE
4
Blink
1
blogger
1
Brillo
1
Brotli
1
Budou
1
Calendar
1
Cardboard
4
Career
1
Case Study
1
chrome
61
Chrome Custom Tab
1
Chrome Dev Summit
1
chrome extension
4
Chrome for Android
2
Chrome for iOS
1
Chrome OS
2
Chromebook
2
Chromecast
7
chromewebstore
6
Chromium
5
CLI
1
ClientLogin
3
Closure Compiler
1
Cloud
8
Cloud Test Lab
2
CocoaPods
1
codejam
5
codelab
2
compute engine
3
Context
1
Dart
2
DataCenter
1
Daydream
4
Deep Learning
1
Demo Party
1
Design Sprint
3
DesignBytes
1
DevArt
3
DevBytes
6
Developer
14
Developer Console
4
Developer Preview
3
Developer Relations
2
DevFest
7
DevFestX
3
devtools
3
DirectShare
1
Doodle
1
DoubleClick
4
Doze モード
1
drive
2
Dynamic Links
1
EarlGrey
1
Easter Egg
1
ECMAScript 2015
1
Eddystone
4
egypt
1
English
2
ES2015
1
ES2016
1
ES6
2
ES7
1
Firebase
52
Firebase Admin SDK
1
Firebase Analytics
2
Firebase Cloud Messaging
3
Firebase Database
3
Firebase Libraries
1
Firebase Remote Config
2
font
3
G Suite
1
game
16
GDD11JP
56
GDD2010JP
23
GDE
2
GDG
11
Geo
31
Gingerbread
1
GLIDE
5
Gmail
1
Go
1
golang
4
goo.gl
1
Google
5
Google Apps
5
Google Apps Script
3
Google Cast
8
Google Cloud Messaging
10
Google Cloud Platform
6
Google Code-in
1
Google Developer Experts
2
Google Developers Academy
1
Google Developers live
5
Google Developers Summit
1
Google Drive
3
Google Fit
2
Google for Mobile
1
Google for Work
1
Google Maps
36
Google Play
38
Google Play Game Services
7
Google Play Services
18
Google Plus
14
Google Search
5
Google Sign-In
10
Google Summer of Code
1
Google Tag Manager
1
Google+
1
Googleapps
10
GoogleGames
1
GoogleI/O
27
GoogleLabs
1
GoogleTV
1
Gradle
1
gRPC
2
GTUG
5
GWT
2
hack4jp
2
hackathon
6
Hosting
2
HTML5
17
HTML5Rocks
1
HTTP/2
4
HTTPS
5
ID Token
1
Identity
12
Identity Toolkit
1
Ignite
4
IME
10
Instant Apps
1
intern
2
Invites
1
iOS
13
IoT
1
IPv6
1
Japanese Input
1
JavaScript
5
K-12
1
Knowledge Graph
1
l10n
8
LINE
1
Lollipop
10
Machine Learning
1
Marshmallow
10
Material
1
Material Design
19
MDL
1
MIDI
2
Mobile
11
Mobile Bootcamp
4
Mobile Vision
3
mod_pagespeed
1
monetize
3
Mozc
14
Music
1
NativeDriver
2
Nearby
4
Nexus
2
Nexus S
1
NFC
1
Node.js
1
NPAPI
2
NPN
1
oauth
8
OpenGL
4
OpenID
3
OpenID Connect
2
OpenSocial
1
opensource
13
Optimization
1
Payment
2
People API
1
Performance
6
PersonFinder
1
Physical Web
3
Place Picker
1
Player Analytics
4
Policy
2
Polymer
7
Progressive Web Apps
8
project hosting
1
Promise
1
Promo code
1
Protocol Buffers
1
publicdata
1
Push API
1
Push Notification
3
QUIC
1
RAIL
1
React
1
React Native
2
Realtime Database
1
Redux
1
Remote Config
1
Remote Display API
1
Runtime Permission
1
Sample Code
2
schema.org
1
security
18
Service Worker
3
sketchup
1
SmartLock for Passwords
4
social
4
SPDY
3
speak2tweet
1
startup
3
Storage
1
streetview
3
Study Jams
3
Swift
1
SwiftShader
1
Task
4
techtalk
12
TensorFlow
2
test
3
Test Lab
2
ToS
1
Transliteration
1
Twitter
1
Udacity
15
Unity
3
UX
1
V8
2
VP9
1
VR
6
Vulkan
2
Watch Face
2
wave
2
Weave
1
Web
5
Web Animations
1
Web Components
5
Web Manifest
1
WebAssembly
1
WebMusic
4
WTM
2
Xcode
1
YouTube
15
YouTube API
1
インタビュー
1
コードサンプル
1
プライバシー
1
言論の自由
1
節電
3
東日本大震災
9
日本語入力
40
ブログ アーカイブ
2016
11
10
9
8
7
6
5
4
3
2
1
2015
12
11
10
9
8
7
6
5
4
3
2
2014
12
11
10
9
8
7
6
5
4
3
2
1
2013
12
11
10
9
8
7
6
5
4
3
2
1
2012
12
11
10
9
8
7
6
5
4
3
2
1
2011
12
11
10
9
8
7
6
5
4
3
2
1
2010
12
11
Feed
Google
on
Follow @googledevjp
"プロダクトに関するご意見は
プロダクトフォーラム
にお願いします"
