2014年12月23日火曜日

SHA256な証明書

暗号技術は時と共に陳腐化するものです。
現在主流の暗号関連の技術は、現在の知識で解読するのが大変なことが数学的に証明されていて、
かつ、現在のテクノロジーでリーズナブルに解読できないことことを前提として利用されており、
将来的には極簡単に解読できるようになるかもしれません。
そして、多用されているハッシュ関数のSHA1も、今は十分安全とは言い難いということで、
SHA256(SHA2)への移行が世界的に行われています。
Symantecによれば、
SHA1のSSLサーバ証明書は発行が2015年末まで、利用が2016年末までということになっています。

さて、今年も私のウェブ証明書の更新時期がやってきました。
いつものようにStartSSLで証明書を発行してもらいます。
昨年どうだったか記憶はありませんが、
[Secure Hash Algorithm]の選択項目が"SHA2(Default)"、"SHA1(Deprecated)"となっており、
もはやSHA1はお勧めではなくなっています。
SHA1でないと認識できないような古い機器はもう切り捨てることにして
SHA256のものを発行してもらってウェブサーバにセットアップします。

確認はSymantecのSSL Toolboxを利用するのがいいでしょう。
[SSL Toolbox を使ってみる]、[Check your certificate installation]とクリックし、
SSLウェブサーバを指定すると色々調べてくれます。
その中の[Algorithm type]が、旧証明書で"SHA1withRSA"だったのが
新証明書では"SHA256withRSA"になりました。これで完璧です。
ちなみにWindowsXP+IEでSHA256なhttpsページにアクセスすると認証エラーになります。
ただ期限切れの証明書に対する認証エラーとの違いはないように見えます。
またSHA256だからと言ってページがまったく見えなくなるということはなさそうです。

ところで無料でウェブ証明書を発行してくれるところってStartSSLぐらいかと思っていたら、
Let’s Encryptが現在準備中のようです。
2015年8月開始ということなので、来年はこっちのサービスを使ってみてもいいかな。

0 件のコメント:

コメントを投稿