Skip to content

SSLサーバ証明書のSHA-2移行について

本ページではSHA-1証明書の廃止とSHA-2証明書への移行についてご紹介します。

Trend Micro SSLはサーバ証明書に留まらない幅広い証明書のニーズにお応えするため、 数多くの証明書や認証サービスを保持するEntrust Datacard Corporationのソリューションに統合させていただくこととなりました。
事業譲渡に伴う変更に関しては以下URLよりご確認ください。
www.go-tm.jp/tmssl-jouto

SHA-1とSHA-2の証明書の発行について

各ブラウザベンダーのSHA-1証明書のサポート廃止の発表に伴い、お客さまは2016年末までにSHA-1のSSLサーバ証明書をSHA-2の証明書へ移行する必要があります。
Trend Micro SSLサーバ証明書(以下、TMSSL)では2015年12月31日まで、SHA-1とSHA-2 (SHA-256) の2種類のハッシュアルゴリズムのサーバ証明書を発行することが可能です。すでにTMSSLでSHA-1証明書を発行いただいている場合は、TMSSLポータル上で簡単にSHA-2証明書を1年間、もしくは2年間の有効期限で再発行いただけます。追加料金は必要ありません。
また、各ブラウザベンダーは以下のスケジュールで、SHA-1証明書のサポートを廃止します。

  • 2015年12月31日(Google社のサポート終了予定日)
  • 2016年12月31日(Microsoft社、Mozilla社のサポート終了予定日)

各ブラウザベンダーのSHA-1証明書のサポート廃止スケジュールに関しては、こちらをご覧ください。なお、ご利用中のTMSSLの証明書のハッシュアルゴリズムはTMSSLポータル上より一覧でご確認いただくことができます。

Trend Micro SSLサーバ証明書の詳細情報

製品情報

お問い合わせ・ご購入


各ブラウザベンダーのSHA-1証明書の廃止について

各ブラウザベンダーのSHA-1証明書の廃止時期は以下の通りです。

サポート廃止は、サーバ (エンドエンティティ証明書) の署名アルゴリズムだけでなく、中間証明書の署名アルゴリズムも対象になります。

製品情報

お問い合わせ・ご購入


SHA-1とSHA-2とは?

SHAは「Secure Hash Algorithm」の略で、データ通信における改ざん検知に利用される仕組みです。通信時のデータの改ざんを検証する技術として、送信されるデータから別の固定長のデータ(ハッシュ値)を生成されます。受信側でも送信されたデータからハッシュ値を生成し、比較の結果同じ値であれば改ざんは無かったこととなります。それぞれの値が異なる場合、データは改ざんされた疑いがあります。

SHA-1とは?

SHA-1は、アメリカ国家安全保障局(NSA)によって設計され、1995年にアメリカ国立標準技術研究所(NIST)によって採用された暗号学的ハッシュアルゴリズムです。SHA-1は、160ビット(20バイト)のハッシュ値を生成します。現在、SHAアルゴリズムの中では最も多く利用されています。

SHA-2とは?

SHA-2は、アメリカ国家安全保障局(NSA)によって設計され、2001年にアメリカ国立標準技術研究所(NIST)によって標準化された暗号学的ハッシュアルゴリズムです。SHA-2は、前規格であるSHA-1からより高い安全性を誇ります。SHA-2はSHA-1の160ビットより長い224ビット・256ビット・384ビット・512ビットのいずれかを使用します。
※ Trend Micro SSLでは、160ビット(SHA-1)と256ビット(SHA-2)の証明書を発行することができます。

SHA-1証明書を利用し続けるリスク

ハッシュ関数による改ざん検知は、同じデータから生成されるハッシュ値が同じであることを前提に成り立っています。SHA-2に比べ、SHA-1はハッシュ値が短い為、同じハッシュ値を持つ別のデータが発見される可能性も高くなり、安全性が低下します。SHA-1は以前使用されていたMD5より安全なハッシュ関数として広く採用されてきましたが、コンピュータの計算能力の向上や新たな攻撃手法の発見によって、SHA-1の安全性が危ぶまれるようになり、よりハッシュ値の長いSHA-2の利用が推奨されます。各ブラウザベンダーはSHA-1のサポートを廃止を予定しており、2017年1月時点でSHA-1証明書を使用していると、危険なサイトとして分類されてしまう可能性があります。
詳細はこちらをご覧ください。

製品情報

お問い合わせ・ご購入


ご利用中の証明書の署名アルゴリズムを知るには

すべて開く

Internet Explorerの場合

Google Chromeの場合

Firefoxの場合

ご利用中の証明書の有効期限を知るには

すべて開く

Internet Explorerの場合

Google Chromeの場合

Firefoxの場合

製品情報

お問い合わせ・ご購入


SHA-2証明書に対応するPC、ブラウザのシステム要件は以下となります。

PC

OS 暗号化に対応するWebブラウザ EV証明書のグリーンバーに対応するWebブラウザ
Microsoft Windows XP SP3 以降 Internet Explorer 6.0以降 Internet Explorer 7.0以降
Google Chrome 1.0以降 Google Chrome 1.x以降
Mozilla Firefox 2.0.0.13以降 Mozilla Firefox 3.0 Update 15以降 (PC/Android)
Opera 9.26以降 Opera 9.50以降
Mac OS X 10.5.8以降 Apple Safari 3.0.4以降 Apple Safari 4.0.2以降

スマートフォン

OS 暗号化に対応するWebブラウザ EV証明書のグリーンバーに対応するWebブラウザ
Android 2.3以降 標準搭載のAndroidブラウザ 2.3以降 標準搭載のAndroidブラウザ 2.3以降
iOS 3.0以降 標準搭載のApple Safari 3.0.4以降 標準搭載のApple Safari 4.0.3以降
Blackberry 5.0以降 標準搭載のBlackberryブラウザ5.0以降 標準搭載のBlackberryブラウザ5.0以降

※ 上記OS/ブラウザを利用しない携帯電話(フィーチャーフォン)には対応しておりません。
※ Trend Micro SSLサーバ証明書から発行される証明書は、ITU-T の規格 X.509 v3 に準拠しています。CSR の生成および証明書のインストールを適切にすることができる SSL/TLS サーバ・アプリケーションであれば、動作するものと考えられます。ただし、動作確認・検証はお客さまにて行っていただく必要があります。あらかじめご了承ください。
※ クライアント証明書およびコードサイニング証明書の発行はしておりません。
※ 記載内容は2015年3月現在のものです。内容は予告なく変更になる場合がございます。

製品情報

お問い合わせ・ご購入


Q: 各ブラウザベンダーのSHA-1サポート期間終了後はSHA-1のSSLサーバ証明書が導入されているサイトはどのような影響を受けるのでしょうか?

A:2016年12月31日以降、マイクロソフト社のポリシーに準拠しないサイトはInternet Explorerからアクセス不可となる可能性があります。また、2015年12月31日以降、Google ChromeでSHA-1証明書が導入されたサイトにアクセスした場合、警告またはエラー画面が表示される予定となっております。
詳細はこちらをご覧ください。

Q: 対応するためには何をすれば良いのでしょうか?

A: SHA-1のSSLサーバ証明書をお使いの場合は2017年1月1日より前にSHA-2の証明書に移行する必要があります。SHA-1の証明書は2015年12月31日まで発行可能ですが、有効期限は2016年12月31日を超えることはできません。

Q: ルート証明書はSHA-1ですが、こちらはどうすれば良いでしょうか?

A: SHA-2のSSLサーバ証明書であっても、引き続きSHA-1で自己署名を付与されたルート証明書をトラストアンカーとして利用いただけます。 ルート証明書のデジタル署名は自身を発行者とする「自己署名」として付与されています。OSやブラウザによって信頼されたルート証明書として選定され搭載されています。

Q: 中間証明書もSHA-2にする必要はありますか?

A: 中間証明書もSHA-2の証明書にする必要があります。

Q: 証明書の設定方法は、ハッシュアルゴリズムが異なると変わりますか?

A: ハッシュアルゴリズムによる差はありません。

Q: 利用しているSHA-1証明書が2017年1月1日以降でも利用されていた場合、どのようにしたらよいでしょうか?

A: TMSSLポータルから、証明書の更新や再発行の手続きを行い、SHA-2証明書に切り替えてください。

Q: SHA-2未対応の環境(OSやブラウザ)から、SHA-2のSSLサーバ証明書がインストールされたWebサイトにアクセスした場合どうなりますか?

A: 「ページが表示できません」といったエラー画面が表示されます。

Q: SHA-2 SSLサーバ証明書の申請時、CSRの生成方法に何らかの考慮は必要ですか?

A: いいえ、必要ありません。SHA-2証明書を申請する際のCSRの生成手順は、SHA-1証明書を申請する際の手順と同様です。

製品情報

お問い合わせ・ご購入