SSL暗号化通信に必要なハッシュアルゴリズム「SHA-1」は、その危険性から安全な「SHA-2」への移行が求められている。タイムリミットが迫る中、企業が取り組むべきこととは。
主要なWebブラウザや電子証明書が採用してきた「SHA-1」が危機にひんしている。SHA-1は、データに改ざんが加えられていないかどうかを確認するために用いられるハッシュアルゴリズムの1つだ。以前からセキュリティ研究者によって、このSHA-1が十分に安全とはいえないことが指摘されていた。さらに2015年10月、別のセキュリティ研究者らが、それまで考えられていたよりも高速かつ低コストでSHA-1アルゴリズムを破る手法を指摘したのだ。
こうした指摘を受け、国内外の政府組織やベンダーの間で、SHA-1廃止に向けた方針や勧告が相次いでいる。企業にとって影響が大きいのが、Webブラウザの動きだ。「Internet Explorer」「Google Chrome」「Mozilla Firefox」といった主要なWebブラウザは、SHA-1を用いたSSLサーバ証明書の受け入れを2016年末で停止する。またそれに先立ち、SHA-1対応のSSLサーバ証明書を受け取ると画面に警告やエラーを表示する措置を取る動きも拡大。2014年9月のChromeに続き、2015年10月にはFirefoxでも早期の警告・エラー表示の実装を表明した。
自社WebサイトのSSLサーバ証明書のハッシュアルゴリズムをSHA-1のまま放置しておくと、Webブラウザでアクセスしてきたユーザーの画面に、「信頼できない接続です」といった警告が表示されてしまう可能性がある。問題を解決するには、より安全なハッシュアルゴリズムである「SHA-2」へ移行するしかない。一方でWebサイト運営者の立場からは「今現在、支障なく動いているものは変えたくない。なぜ切り替えなくてはならないのか」という意見があるだろう。SHA-1を使い続けることによる問題をあらためて整理した上で、どのようにSHA-2への移行を進めていくべきかを紹介しよう。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:合同会社シマンテック・ウェブサイトセキュリティ(旧 日本ベリサイン株式会社)
アイティメディア営業企画/制作:TechTargetジャパン編集部