SHA-1ハッシュアルゴリズムの危殆化対応(SSL証明書)
背景
-
SHA-1ハッシュアルゴリズムの危殆化
→マイクロソフト社とグーグル社がSHA-1の廃止プランの発表
参考:
https://www.jp.websecurity.symantec.com/sid-partner/products/pdf/chrome_sha1deprecation_201409_1.pdf -
HTTP/2のベースとなったSSL/SPDY
→WEBサイトのhttps化が加速
sha-2への移行
既存証明書の署名アルコリズムの確認
- online check
Check your certificate installation
Poodle, Heartbleed脆弱性診断、証明書情報、Certificate chain様々なチェックが可能
-
ブラウザ画面から確認
Certificate Signature Algorithm: -
SHA1withRSA:対応必要
-
SHA256withRSA:OK
新規SSL証明書CSR作成時の注意事項
opensslでCSR作成する場合、「-sha256」 オプショオンをつけること!
一部の証明書発行機関は無償でsha1証明書からsha2へアップデートのサービスが提供されるが、
無駄な対応工数がかかるので、最初sha2で申請したほうがよい
参考
http://ja.wikipedia.org/wiki/SHA-2
https://jp.globalsign.com/sha256/knowledge/
http://ja.wikipedia.org/wiki/HTTP/2