質問

Advanced Search

Alert ID : ALERT941

Last Modified : 10/10/2018

Google ChromeにおけるSHA-1版SSLサーバ証明書に対する警告表示等について

Description

2014年9月16日
 
Google ChromeにおけるSHA-1版SSLサーバ証明書に対する警告表示等について
 

平素は弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。


2014年9月5日(米国時間)、Google社より、Chrome version 39 (2014年9月末ブランチリリース、安定版は以降順次リリース)以降において、SHA-1版SSLサーバ証明書(*1)が導入されたウェブサイトとのSSL/TLS通信時に、以下の要領でChromeのユーザーインターフェース上に警告表示を開始する計画が発表されました。

当情報は本日時点までのGoogle社の情報に基づくものであり、今後変更となる可能性がございます。しかしながらお客様の環境における影響をご確認いただき、必要に応じてSHA-2対応版(*1)サーバIDのご導入等ご検討いただけますよう、以下の通りご案内を申し上げます。併せまして、当社がご提供するSHA-2対応版SSLサーバ証明書製品の提供スケジュールを一部見直し、当社ストアフロントよりSSLサーバ証明書をご取得いただいたお客様に対して、本日よりUser Potal(*2)を通じてSHA-2対応版SSLサーバ証明書を無償でご取得いただけるようになりましたことをご案内申し上げます。詳細は下記をご参照ください。

弊社では引続きサービス改善に努めて参りますので、今後ともご愛顧賜りますようお願い申し上げます。

 *1 : End-Entity証明書および中間CA証明書へのデジタル署名にハッシュ関数SHA-256を利用した証明書製品を「SHA-2対応版証明書」と総称しています。
   また「SHA-1版」とはEnd-entity、中間の各証明書の署名にいずれかにSHA-1が利用されている証明書を指します。End-Entity証明書にSHA-2が利用されていても、中間CA証明書にSHA-1が利用されている場合、SHA-1版と同様に警告が表示される点にご注意ください。
 *2. User Portalとは、オーダ毎に証明書に関する情報を管理するサイトです。
   https://products.websecurity.symantec.com/orders/orderinformation/authentication.do
 

1.背景
 
  Google社が発表した計画では、SHA-1版SSLサーバ証明書が導入されたウェブサイトとのSSL/TLS通信時に、以下の要領でChromeのユーザーインターフェース上に警告が表示されます。

  (参考URL) Online Security Blog [Gradually sunsetting SHA-1] (英文)
  http://googleonlinesecurity.blogspot.jp/2014/09/gradually-sunsetting-sha-1.html

 ・Chrome version 39(2014年9月末ブランチリリース、安定版は以降順次リリース)において、お客様のウェブサイトでSHA-1版SSLサーバ証明書をご導入されており、かつその証明書の有効期限が2017年1月1日以降である場合、Chromeのユーザーインターフェース上に警告が表示され、以降順次警告の度合いが強まります。

 ・Chrome version 40(2014年11月ブランチリリース、安定版は以降順次リリース)において、お客様のウェブサイトでSHA-1版SSLサーバ証明書をご導入されており、かつその証明書の有効期限が2016年6月1日以降2016年12月31日以前である場合、Chromeのユーザーインターフェース上に警告が表示されます。

 ・Chrome version 41(2015年1月以降ブランチリリース、安定版は以降順次リリース)において、お客様のウェブサイトでSHA-1版SSLサーバ証明書をご導入されており、かつその証明書の有効期限が2016年1月1日以降2016年5月31日以前である場合、Chromeのユーザーインターフェース上に警告が表示されます。

 ・お客様のウェブサイトでSHA-2対応版SSLサーバ証明書をご導入されている場合は、有効期限に関わらず、警告は表示されません。

 ・お客様のウェブサイトでSHA-1版SSLサーバ証明書をご導入されており、かつその証明書の有効期限が2015年12月31日以前である場合は、警告は表示されません。

 警告表示の適用範囲、これによるお客様のウェブサイト訪問者への影響範囲のイメージにつきまして、以下参考資料1をご参照ください。

 参考資料1 Google ChromeにおけるSHA-1版証明書に対する警告表示について(PDF)
 https://knowledge.verisign.co.jp/library/VERISIGN/VSJ/resources/chrome_sha1deprecation_201409_1.pdf

2. SHA-2対応版シマンテック サーバIDの仕様変更について

 2-1. 対象製品

   EV SSL証明書、グローバル・サーバID、セキュア・サーバID 

 2-2. 変更日

   2014年9月16日(火)

 2-3. 変更内容

   さる2014年1月20日より提供を開始いたしましたSHA-2対応版サーバIDでは、中間CA証明書へのデジタル署名にはハッシュ関数SHA-1を利用しておりますが、これを、ハッシュ関数SHA-256を利用したデジタル署名を付与した中間CA証明書へ変更いたします。

   仕様変更後のSHA-2対応版サーバIDをお客様のウェブサイトでご導入いただいた場合、有効期限に関わらず、警告は表示されません。

   仕様変更後のSHA-2対応版サーバIDは、User Portalから「再発行」申請をいただくことでご取得いただけます。
   「再発行」のご申請方法につきましては以下参考資料2をご参照ください。

   参考資料2 「別紙 SHA-2証明書の取得方法(申請システム別)」(PDF)
   https://knowledge.verisign.co.jp/library/VERISIGN/VSJ/resources/chrome_sha1deprecation_201409_2.pdf

 2-4. ご注意点

   訪問者様が利用されるブラウザや、ウェブサーバの種類、バージョンによってはSHA-2対応版をインストールするとアクセスができなくなる場合がございますのでご注意ください。携帯電話、スマートフォン、サーバ機器などのSHA-2対応状況は以下ウェブサイトでご確認ください。

   「ハッシュアルゴリズムのSHA-1からSHA-2への移行に関して」
   https://www.symantec.com/ja/jp/page.jsp?id=ssl-sha2-transition

 2-5. 今後の予定

   2014年11月(予定)よりシマンテックストアフロントでの新規/更新/乗換申請時にSHA-2対応版SSLサーバ証明書をご選択いただくことが可能となります。

   詳しくはこちら
   id=AD906

3.本件に関するお問合せ先

  合同会社シマンテック・ウェブサイトセキュリティ カスタマーサポート
  Email : server_info_jp@digicert.com
  電話 : 03-5114-4135(音声ガイダンス後、2番を選択してください)
  (平日9時30分~17時30分)