マイクロソフト セキュリティ アドバイザリ 4010323

Microsoft Edge および Internet Explorer 11 における SSL/TLS 証明書の SHA-1 廃止

公開日: 2017 年 5 月 10 日

バージョン: 1.0

2017 年 5 月 10 日、マイクロソフトは SHA-1 証明書で保護されているサイトの読み込みをブロックし、無効な証明書の警告を表示するために Microsoft Edge および Internet Explorer 11 の更新プログラムをリリースしました。この変更で影響を受けるのは、End Entity 証明書または中間証明機関の証明書が SHA-1 を使用している、マイクロソフトの信頼されたルート証明書プログラムのルートにチェーンされた SHA-1 証明書のみです。エンタープライズ証明書や SHA-1 の自己署名証明書は影響を受けませんが、すべてのお客様が SHA-2 ベースの証明書に迅速に移行することをお勧めします。詳細については、「Windows Enforcement of SHA1 Certificates」(英語情報) を参照してください。

詳細については、マイクロソフト サポート技術情報 4010323 を参照してください。

問題に関する参照情報

この問題に関する詳細情報は、次の参照情報をご確認ください。

参照情報

参照情報

一般情報

Windows Enforcement of SHA1 Certificates (英語情報)


SHA-1 deprecation countdown (英語情報)

技術要件

脆弱な暗号アルゴリズムに対する保護

このアドバイザリは、以下のオペレーティング システムを対象としています。

Windows 7

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 R2

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Windows 8.1

Windows 8.1 for 32-bit Systems

Windows 8.1 for x64-based Systems

Windows Server 2012 R2

Windows Server 2012 R2

Windows 10

Windows 10 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 Version 1511 for 32-bit Systems

Windows 10 Version 1511 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows Server 2016

Windows Server 2016 for x64-based Systems

Server Core インストール オプション

Windows Server 2008 R2 for x64-based Systems (Server Core インストール)

Windows Server 2012 R2 (Server Core インストール)

Windows Server 2016 for x64-based Systems (Server Core インストール)

このアドバイザリの目的は何ですか? 
このアドバイザリの目的は、SHA-1 ハッシュ アルゴリズムを使って署名された X.509 デジタル証明書を使用する特定のアプリケーションのリスク評価を支援し、デジタル証明書の署名用アルゴリズムとして、SHA-1 の代わりに SHA-2 を使用するように、管理者と証明機関に推奨することです。

これは、マイクロソフトがセキュリティ更新プログラムをリリースする必要のあるセキュリティ上の脆弱性ですか? 
いいえ。マイクロソフトでは、すべてのお客様が SHA-2 に移行することをお勧めしています。また、署名用のハッシュ アルゴリズムとして SHA-1 を使用することは推奨されず、現在はベスト プラクティスではありません。これはマイクロソフト製品の脆弱性ではありませんが、マイクロソフトは、お客様に関連する実際のリスクを明確にするためにこのアドバイザリを公開しています。

何が原因で起こりますか?  
この問題の根本原因は、SHA-1 ハッシュ アルゴリズムの良く知られた弱点が衝突攻撃 (collision attack) に曝されやすいことです。このような攻撃は、攻撃者が元のデジタル署名と同一の署名を持つ別の証明書を生成することを可能にします。これらの攻撃を防ぐ必要があるような、特定の目的のための SHA-1 証明書の使用は推奨されません。マイクロソフトでは、セキュリティ開発ライフサイクル (SDL) に従い、マイクロソフト製品で SHA-1 ハッシュ アルゴリズムを既定で使用しないこととしています。SHA-1 衝突攻撃に対するの弱点の詳細については、「SHAttered: The first collision for full SHA-1 (英語情報)」を参照してください。

デジタル証明書とは何ですか? 
公開キー暗号化では、キーの 1 つ (秘密キーと呼ばれます) は秘密にされている必要があります。公開キーと呼ばれているもう 1 つのキーは世界で共有されることを意図しています。しかし、キーの所有者はキーが誰に属しているかを公に知らせる方法が必要になります。デジタル証明書はこれを実行する方法を提供します。デジタル証明書は、個人、組織、およびコンピューターのオンライン ID を証明するために使用される電子資格情報です。デジタル証明書は、公開キーと、公開キーについての情報 (所有者情報、用途、有効期限、その他の関連情報) を含みます。詳細については、「デジタル証明書について」を参照してください。

デジタル証明書の目的は何ですか?  
デジタル証明書は主に人物またはデバイスの身元の確認、サービスの認証、またはファイルの暗号化に使用されます。通常は、証明書の期限切れや無効であることを示すメッセージを除き、証明書について考慮する必要はありません。このような場合は、メッセージの説明に従ってください。

認証機関 (CA) とは?  
証明機関とは、証明書を発行する組織のことです。証明機関は、人物またはその他の証明機関に属する公開キーの信頼性を確立し、検証します。また、証明書を要求する人物または組織の身元を確認します。

  • マイクロソフトの信頼されたルート証明書プログラムのポリシー変更の確認

    このアドバイザリに記載されているトピックの詳細は、「Windows Enforcement of SHA1 Certificates」(英語情報) で説明されています。

  • SHA-1 から SHA-2 への更新

    2016 年 1 月以降、証明機関は新規に SHA-1 証明書を発行することを禁止されています。お客様は、証明機関が SHA-2 ハッシュ アルゴリズムを使用して証明機関から SHA-2 証明書を取得していることを確認する必要があります。SHA-2 証明書を使用してコードに署名する場合は、「Windows Enforcement of SHA1 Certificates」(英語情報) でこのトピックに関するガイドを参照してください。

    実施の影響: 以前のハードウェア ソリューションでは、新しいテクノロジーに対応するためにアップグレードが必要な場合があります。

  • Windows を最新の状態に保つ

    Windows をご利用のすべてのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用し、ご利用のコンピューターを保護してください。ご使用のソフトウェアが最新の状態かを確認する場合は、Windows Update で、コンピューターをスキャンして利用可能な更新プログラムを確認の上、優先度の高い更新プログラムをインストールしてください。自動更新が有効になっている場合はリリース時に更新プログラムが提供されますが、インストールされたことを確認する必要があります。

フィードバック

サポート

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2017/05/10): このアドバイザリを公開しました。

Page generated 2017-05-08 17:41-07:00.
表示: