ValuesSSL サーバ証明書のハッシュアルゴリズムSHA-1からSHA-2へ移行予定のお知らせ

SHA-1版の受付は終了いたしました。

---

セキュリティ状況の変化によりまして、認証局より「早急にSHA-1からSHA-2へ移行の注意喚起」がございました。
SHA-1版の利用停止、申込受付の終了のスケジュールが急に変更となる可能性がございます。
最新のスケジュールはSHA-1版の受付終了スケジュールでご確認下さい。

---

■SHA-1版受付状況のお知らせ（2015年2月20日時点）

2015年10月20日スケジュールを更新しました。

種類	新規申込	更新申込
シマンテック製品	×	×
ジオトラスト製品	○ (有効期間1年のみ)	×
コモド製品	×	×

■SHA-1版受付終了予定

認証局ならびに弊社のシステム変更の都合上、予定よりも早く受付終了となる可能性がございます。

種類	新規申込	更新申込
シマンテック製品	2015年02月20日受付終了しました	2015年02月20日受付終了しました
ジオトラスト製品	2015年12月31日受付終了予定 2015年12月10日受付終了予定	2015年9月30日受付終了予定 2015年9月25日受付終了しました。
コモド製品	2015年12月31日受付終了予定 2015年10月01日受付終了しました。	2015年9月30日受付終了予定 2015年10月01日受付終了しました。

■SHA-1版での再発行

種類	再発行
シマンテック製品	有効期間の終了日が2016年12月31日までの証明書は SHA-1版での再発行が可能です。 会員ページから「SHA-1」を選択して再発行要請を送信して下さい。
ジオトラスト製品
コモド製品

■主要ブラウザのSHA1版サポート廃止予定の状況

Google Chrome ならびに Windows IE の「SHA1版サポート廃止予定」の状況は以下のとおりです。下記の内容は2014年9月30日現在の状況です。
これらの状況は今後変更となる場合がございます。

Google Chrome
サーバ証明書の終了日	SHA1版サポート廃止の影響
2015年12月31日までの場合	影響ありません。
2016年1月1日から2016年12月31日の場合	2016年1月1日-2016年5月31日の場合はChrome41から警告がでます。 2016年6月1日-2016年12月31日の場合はChrome40から警告がでます。
2017年1月1日以降の場合	Chrome39から警告がでます。 段階的に警告内容は厳しくなります。
備考 Chrome39安定版のリリース時期は2014年11月頃 Chrome40安定版のリリース時期は2015年01月頃 Chrome41安定版のリリース時期は2015年03月頃

Windows Interne Explorer(IE)
すべてのSHA1版サーバ証明書	2017年01月01日以降は利用できません。

Mozilla Firefox
サーバ証明書の終了日	SHA1版サポート廃止の影響
2017年1月1日以降の証明書	2015年初期にリリース予定のFirefoxでは警告表示 上記以降にリリース予定のFirefoxではエラー表示

2014年10月05日 「主要ブラウザのSHA1版サポート廃止予定の状況」を追記しました。

■Google Chrome SHA-1版のサポートを段階的に廃止することを発表

Googleは2014年9月5日、データの改ざん検知などに使われるハッシュ関数の「SHA-1」の脆弱性が指摘されていることを受け、2014年11月にリリース予定の(正式版)Chrome 39からSHA-1のサポートを段階的に廃止することを発表しました。
Google ChromeのSHA-1のサポート廃止はバージョンごとに内容が異なります。

各バージョンごとに段階的に対処することが以下のGoogleブログで説明されています。
http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1.html

Google　Chrome のSHA-1サポートの段階的に廃止に伴い、できるだけ早い時期にSHA-2に移行することを推奨いたします。詳細はGoogleがChrome 39 から「SHA-1」サポートの段階的廃止を発表をご参照下さい。

また、Google　Chrome のSHA-1サポートの段階的に廃止に伴いまして、
2014年09月16日以降の申請分よりSHA-2版サーバ証明書の中間CA証明書が変更となりました。詳細はSHA-2 サーバ証明書の中間CA証明書変更のお知らせ
をご参照下さい。

2014年09月18日 「Google Chrome SHA-1版のサポートを段階的に廃止することを発表」を追記しました。

■Windows IEのSHA1版2017年1月1日より利用停止に伴いSHA2版へ移行予定のお知らせ

現在、シマンテック(旧ベリサイン）、ジオトラスト、ソート社のSSLサーバ証明書をご利用のすべてのお客様にお知らせいたします。

サーバ証明書のハッシュアルゴリズムにつきまして
2017年1月1日までに「SHA-1」から「SHA-2」へと移行の予定がございますのでご案内申し上げます。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SHA-2への移行の背景
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
現在SSLサーバ証明書で使用される署名ハッシュアルゴリズムのスタンダードは
「SHA-1」ですが、各国政府機関やSSLサーバ証明書の業界団体では、
次世代のハッシュアルゴリズム「SHA-2」への移行を進めています。

また、2013年11月には、Microsoft社より、SHA-1ハッシュアルゴリズムの危殆化を背景に、SHA-1廃止ポリシーの発表がありました。
これにより、SHA-1ハッシュアルゴリズムのSSLサーバ証明書は2017年1月からIEなどの主要なブラウザで利用できなくなります。

■Microsoft社からの[SHA-1 廃止ポリシー] の要点

• 認証局は2016年1月1日までに新たなSHA-1 SSLサーバ証明書およびコードサイニング証明書の発行をやめなければならない。
• SSLサーバ証明書については、Windowsは2017年1月1日までにSHA-1証明書の受け入れを中止する。
• コードサイニング証明書については、Windowsは、2016年1月1日以降にSHA1によって署名されたコードの受け入れを中止する。

詳しくは
マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止
をご参照下さい。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SHA-2の提供開始
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
シマンテックグループの認証局(シマンテック、ジオトラスト、Thawte)では、
すでに署名ハッシュアルゴリズムSHA2への対応を開始しております。

弊社ウェブサイトのオンライン申請（注文受付）におきまして、
2014年7月22日より、以下のとおりSHA-2のお申込み受付を開始いたします。
サーバ証明書のお申込み時に「SHA-1」あるいは「SHA-2」のどちらかを選択できます。

SHA-2証明書の仕様
署名ハッシュアルゴリズム	SHA-2(SHA256)
暗号化アルゴリズム	RSA
証明書形式	X.509

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
移行スケジュール
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

弊社ウェブサイト(ValueSSL)からのオンライン申請（注文受付）におきまして、
以下のスケジュールでSHA-1 から SHA-2 への移行を進める予定です。

期間	ハッシュ関数	受付	備考
2014年7月22日～2014年12月31日	SHA-1	○
	SHA-2	○
2015年1月1日～2015年12月31日	SHA-1	○
	SHA-2	○
2016年1月1日～2016年12月31日	SHA-1	×	SHA-1 お申込受付停止
	SHA-2	○
2017年1月1日～	SHA-1	×	SHA-1 IEなどで利用停止
	SHA-2	○

• 2014年07月22日～2015年12月31日までは、SHA-1 と SHA-2 のどちらでもサーバ証明書のお申込受付ができます。
• 2016年01月01日以降はSHA-1のサーバ証明書のお申込受付はできません。
• 2017年01月01日以降はSHA-1のサーバ証明書はIEなどのブラウザで利用できなくなります。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ウェブサイト管理者に求められるアクション
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

• 2016年12月31日までにSHA-2 サーバ証明書を導入しなければならない。
• 現在利用中のサーバ等がSHA-2に対応しているかを確認し、対応していない場合はSHA-2に対応したサーバ等を導入しなければならない
• 現在利用中のSHA-1サーバ証明書の終了日が2017年1月1日以降の場合は、2016年12月31日までに再発行などの手段によりSHA-2サーバ証明書を導入しなければならない

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SHA-2対応状況
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ブラウザ・サーバ機器対応状況

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SHA-2検証サイト
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■以下はSHA-2で構築されたSSLサイトです。

SHA-2 RapidSSL用検証サイト
https://sha2-rapid.ssl-help.com/sslcheck/mobi

SHA-2 QuickSSL Premium用検証サイト
https://sha2-quick.ssl-help.com/sslcheck/mobi

SHA-2 トゥルービジネスID用検証サイト
https://sha2-trbiz.ssl-help.com/sslcheck/mobi

SHA-2 セキュア・サーバID用検証サイト
https://sha2-secure.ssl-help.com/sslcheck/mobi

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SHA-2についてよくあるご質問
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Q：SHA-1、SHA-2とは何ですか？

ハッシュ関数の一つで、改ざん検知に利用される署名アルゴリズムのことです。
ハッシュ関数とは、テキストデータから別の固定長のテキストデータ（ハッシュ値）を生成する関数であり、
生成されたハッシュ値を比較することでデータの改ざんを確認することができます。
SHA-1とSHA-2でハッシュ値の長さが異なり、SHA-1は160ビット、SHA-2は224ビット・256ビット・384ビット・512ビットです。

Q：なぜ、SHA-1からSHA-2へ証明書のアルゴリズムを変える必要があるのですか？

ハッシュ関数による改ざん検知は、同じデータから生成されるハッシュ値が一様であることを前提に成り立っています。
ハッシュ値が短いと同一のハッシュ値を持つデータが発見される可能性が高くなり、安全性が低下します。
近年コンピュータの計算能力の向上により、SHA-1の安全性が危惧されるようになったため、
よりハッシュ値の長いSHA-2への移行が進めらています。

Q：SSLサーバ証明書のハッシュアルゴリズムの確認方法がわかりません。

ブラウザの鍵マークから参照することで確認できます。
Internet Explorerの場合は「詳細」の署名アルゴリズムまたは署名ハッシュアルゴリズム欄に、
Firefoxの場合は「詳細」のCertificate Signature Algorithm欄に記載されています。

Q：RSAの他にDSA、ECCなどの暗号化アルゴリズムにも対応していますか？

シマンテック(旧ベリサイン）、ジオトラスト、ソート社の認証局では、RSAの他にDSAの暗号化アルゴリズムにも対応しています。
また、シマンテックのグローバルサーバID、グローバルサーバID with EVにつきましてはECCの暗号化アルゴリズムにも対応しています。
しかしながら、現在の対応環境を考慮しますとRSA暗号化アルゴリズムを推奨いたします。

Q：ハッシュ関数の違いによりサーバ証明書のインストール方法に違いはあるのでしょうか？

インストール方法に違いはありません。

Q：ハッシュ関数の違いによりCSRの作成方法に違いはあるのでしょうか？

RSAの場合は、CSRの作成方法に違いはありません。
DSA、ECCの場合は、CSRの作成方法に違いがありますので注意が必要です。

Q：ハッシュ関数の違いにより対応環境（ブラウザ、携帯端末など）に違いはあるのでしょうか？

違いがあります。特にフィーチャーフォンにおいて対応率が低下しますのでご注意ください。

詳しくは
ブラウザ・サーバ機器対応状況

Q：SHA-2に環境が対応していないので、SHA-1の証明書を引き続き利用（発行）することは可能でしょうか？

SHA-1証明書の発行または利用には期限がございます。期限を過ぎての発行・利用はできません。詳細は上記の「Microsoft社からの発表」をご確認ください。

Q：有効期間の終了日が2017年1月1日以降のSHA-1のサーバ証明書を利用していますが、どのような対応が必要ですか？

2016年12月31日までに、再発行(無料)によりSHA-2のサーバ証明書を取得して、ご利用のサーバにインストールして下さい。