SHA-2 – 業務改善コンサルティング情報ブログ

Windows7等にSHA-2対応を

Shingo Takahashi — Tue, 27 Aug 2019 11:31:53 +0900

先週末の8月23日、Microsoft（マイクロソフト）は『Windows 7 SP1』と『Windows Server 2008 R2 SP1』への注意喚起を行いました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

2020年1月14日で延長サポートも終了する『Windows 7』と『Windows Server 2008』ですが、それまでの間だけでも安全に使用するためにはあることを行わないといけません。

Windows7等にSHA-2コード署名対応を

先週末にMicrosoft（マイクロソフト）が行った注意喚起とは、『Windows Update』などから適用できる『セキュリティパッチ』が『SHA-1コード署名』のままでは受け取ることができないというものです。

現在は『SHA-1』と『SHA-2』の両方が使われていますが、安全性を考慮して9月16日に配信予定の月例アップデートからは『SHA-2』のみになるため、これまでのパッチがすべて適用済みであるかどうかを確認しておく必要性があります。

また、この『SHA-2コード署名』への対応は『Windows 8.1』、『Windows Server 2012』、『Windows Server 2012 R2』においても対応が必要であるとされています。

＜パッチの適用状況確認＞

パッチの適用状況はコマンドで確認できます。

『c:\systeminfo』か、『c:\wmic qfe list』で確認ができます。

違いは、前者がKB一覧だけに対して、後者はパッチの適用日を知ることができることになります。

また、『SHA-2コード署名』のサポート要件は以下のリンクから確認してみてください。

『Windows および WSUS の 2019 SHA-2 コード署名サポートの要件』

AppleもついにSHA-1を無効化

Shingo Takahashi — Mon, 10 Jun 2019 11:28:50 +0900

Apple（アップル）は、何年も前から脆弱性が指摘されてきたハッシュアルゴリズム『SHA-1』を使った『SSL/TLS証明書』を無効にすることを表明しました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

既に大半のブラウザで対応が打ち切られている『SHA-1証明書』ですが、先日Apple（アップル）も無効とする方針を表明しています。

AppleもSHA-1証明書を無効化表明

最近では当り前になっている『Webの暗号化（HTTPS化）』において『SSL/TLS証明書』というものが必要になります。

その『SSL/TLS証明書』において『SHA-1』というハッシュアルゴリズムが使われたものがある（あった）のですが、今回、Appleはそれを無効化するというものです。

これに関しては『Google Chrome』、『Mozilla Firefox』、『Microsoft Edge』、『Internet Explorer』においては既に対応が打ち切られており、大手のブラウザの中ではAppleが最後になったという感じです。

Appleの対応としては、『iOS 13』と『macOS 10.15』において『SHA-1』で署名された証明書を信頼できないものとし、『SHA-2』のハッシュアルゴリズムを使用しなければならない規定を発表しています。

もし『SHA-1』の『SSL/TLS証明書』がそのまま使われていた場合、同OSのSafariiブラウザでのWebサイトの読み込みには失敗する可能性があるとしています。

この『SHA-1証明書』問題に関しては既に『Google Chrome』、『Mozilla Firefox』、『Microsoft Edge』、『Internet Explorer』においてWebサイトをブロックする対応がされていますので問題はないかと思いますが、古いバージョンのブラウザを使っている方は要注意であることと、万が一まだ『SHA-1証明書』を使っているのであれば即切り替えを行うことが必要です。

MicrosoftもSHA-1証明書終了

Shingo Takahashi — Thu, 11 May 2017 12:36:40 +0900

2017年5月10日（水）、Microsoft（マイクロソフト）は5月の月例パッチを公開し、Creators Update以外のWindowsにおいても対応を終了したものがあります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、Microsoft（マイクロソフト）の月例パッチがリリースされたわけですが、それによって、ブラウザのEdgeやIE（Internet Explore）11においても対応しなくなったものがあります。

SHA-1証明書への対応の終了

今年に入って、Google（グーグル）のブラウザであるChromeはSSL証明書でSHA-1を使った証明書のサポートを完全に打ち切り、Mozilla（モジラ）のブラウザであるFirefoxはそれをデフォルトで無効にする措置を取りました。

これらに続き、Microsoft（マイクロソフト）のブラウザであるEdgeとIE（Internet Explore）においても今回、SHA-1アルゴリズムを使ったSSL証明書が使われたWebサイトをブロックする措置を取りました。

ただし例外的な措置として、エンタープライズ証明書や自己署名証明書はブロックされないものの、早期にSHA-2のSSL証明書に移行するように呼びかけをしています。

SHA-1アルゴリズムの危険性

SHA-1はSHA-2に比べてハッシュ値の長さが短いことから安全性が低下するため、数年前からSHA-2へ移行する動きが出ていました。

簡単に言えば、攻撃される危険性が高いため、安全性の高いものへ移行するということです。

これらのことから保護するため、各ブラウザにおいてSHA-1への対応を終了させたということです。

普段、あまり気に欠けないものかもしれませんが、自社のWebサイトにおいてもし未だSHA-1のSSL証明書が使われているのであれば、早急にSHA-2のSSL証明書に移行しなければいけません。