SHA-1 ハッシュ アルゴリズムによって署名された証明書の廃止について
こんにちは。プラットフォームサポートの工藤です。
本記事によって案内をしておりました SHA-1 ハッシュ アルゴリズムによって署名された証明書の廃止に関するアナウンスは、情報が更新されたため、以下のサイトをご確認くださいますようお願いいたします。
TITLE: Windows Enforcement of SHA1 Certificates
URL: https://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-sha1-certificates.aspx?PageIndex=2
日本語版では以下のサイト情報が最新となります。
TITLE: SHA-1 ウェブサーバー証明書は 2017 年2月から警告!ウェブサイト管理者は影響の最終確認を
URL: https://blogs.technet.microsoft.com/jpsecurity/2016/11/25/sha1countdown/
以上、よろしくお願いいたします。 2016 年 11 月 30 日追記
2016 年 1 月 1 日以降、 SHA-1 ハッシュ アルゴリズムによって署名されたコード証明書が廃止されます。
[IT 管理者向け] SHA-1 からの移行を推奨しています
https://blogs.technet.com/b/jpsecurity/archive/2014/10/15/sha1-migration.aspx
この廃止に関しまして、マイクロソフトサポートでは多くのお客様からシナリオ別にご質問を頂いています。
この Blog では、お客様からよく頂戴するご質問に回答いたします。
※以下の内容は 2016年 1 月時点での最新の情報になります。
※SHA-1 の脅威に応じて変更が行われる際には、本ページにて改めてアップデートいたします。
Q: 今回廃止の対象となるのは、どのような証明書になるのでしょうか?
A:
今回のSHA-1 廃止ポリシーの対象は、ルート証明書更新プログラムに参加している公的なルート証明機関から発行された SSL 証明書およびコード署名証明書です。
マイクロソフト ルート証明書プログラムに参加している公的な証明機関のリストは以下から確認いただけます。
Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs)
Q: 具体的には、いつ、どのようにして SHA-1 の証明書が廃止されるのでしょうか?
A:
WindowsUpdate 経由で更新プログラムが配信され、SHA1 ハッシュ アルゴリズムが廃止される予定となっております。
詳細な日程につきましては、Update 情報があり次第、情報更新させていただきます。
・ルート証明書更新プログラムに参加している公的なルート証明機関から発行された コード署名証明書
-> 2016 年 1 月 1 日以降に配信予定です。
=> 2016 年 1 月 13 日に KB 3123479 として配信されました。
Title: マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止
URL: https://technet.microsoft.com/ja-jp/library/security/3123479.aspx
Q: 独自に証明機関を構築し証明書の発行を行っているのですが、今回の廃止対象となるのでしょうか?
A:
いいえ、証明機関がマイクロソフト ルート証明書プログラムに参加していない場合や、プライベート CA にて発行した証明書については、今回の廃止の対象に該当しません。
Q: ドライバの署名に SHA-1 を利用しているのですが今後どう対応すればいいですか?
A:
カーネルモード ドライバーおよび、ユーザーモードドライバーの署名に関しましては、今回の SHA1 証明書の利用停止の措置の対象外です。
詳細につきましては、以下の blog をご参照ください。
Windows 10 と SHA-1 廃止ポリシーによるドライバー署名への影響について
https://blogs.msdn.com/b/jpwdkblog/archive/2015/09/18/windows-10-sha-1.aspx
Q: アプリケーションの署名に SHA-1 コード署名証明書を利用しています。
2016 年 1 月 1 日以降に利用を継続するためにはどうすればいいですか?
ユーザー モード アプリケーションにつきましては、今回の SHA1 証明書の利用停止の措置の対象です。
ご利用いただいている OS によっては、ご利用を継続されるにあたり以下のような条件を満たす必要がございます。
Windows Vista および Windows Server 2008 にて
OS サポートが終了するまでの間、2016 年 1 月 1 日を過ぎましても、2020 年 1 月 1 日を迎えるまで、SHA-1 で発行されたコード署名証明書は継続利用いただけます。
※ルート更新プログラムに参加している証明機関も、Windows Vista/Windows Server 2008 で利用する場合に限り、SHA-1 の証明書を発行することが可能です。実際の方針については、ルート証明書更新プログラムメンバーの各証明機関に問い合わせください。
Windows Server 2008 R2 および Windows 7 以降
コード署名された日付が、2016 年 1 月 1 日以前のタイムスタンプとなっているプログラムのみ、2020 年 1 月 1 日までご利用可能となります。
2016 年 1 月 1 日以降は、ルート更新プログラムに参加している証明機関は、SHA1 での証明書の新規発行が不可能となりますので、継続的に利用を検討されている場合はこの日程までにコード署名を行っていただく必要がございます。
※2020 年 1 月 1 日という日程につきましては、SHA-1 に対する脅威の状況に応じて、早まる可能性があります。
Q: アプリケーションの署名に SHA-1 コード署名証明書を利用していますが、
タイムスタンプが存在しない場合はどうなりますか?
// Windows Server 2008 および Windows Vista
SHA1 証明書のご利用を許容しておりますため、2016 年 1 月 1 日以降も利用できる見通しです。
SHA-1 に対する脅威の状況に応じて、早まる可能性があります。
// Windows Server 2008 R2 および Windows 7以降
SHA-1 コード署名証明書にて署名されており、かつタイムスタンプが存在しない場合は、2016 年 1 月 1日以降、署名された証明書およびコードやアプリケーションは、信頼しない証明書・コードとみなされます。
そのため、2016 年 1 月 1 日以降は警告表示が現れるなど、場合によってはご利用になれない可能性がございます。
Q: アプリケーションの署名に SHA-1 コード署名証明書を利用していますが、
2016 年 1 月 1 日以降どのような表示になりますか?
A: アプリケーションをインターネットからダウンロードするときに、IE ブラウザの SmartScreen の機能により「<アプリケーション名> の署名が壊れているか、無効です。」と表示されます。併せて、[削除] と [ダウンロードの表示] ボタンが表示されます。
アプリケーションの実行は、ユーザー操作により可能です。
**********************************************
1. Internet Explorer のバージョンによる動作の違い
**********************************************
IE 9 からダウンロードするファイルの署名検証を実施するなどの、アプリケーション評価機能が追加されているために、プログラムのダウンロード時に警告が表示されます。
そのため、IE 8 に関してはアプリケーション評価機能が搭載されていないために、警告が表示されない動作となります。
**********************************************
2. Windows のバージョンによる動作の違い
**********************************************
Windows 8 から、SmartScreen の機能が OS にも搭載されたため、ダウンロードされたファイルを実行する際にも、ファイルの署名検証が実施されます。
Q: Windows Vista は、SHA-2 のファイル ダイジェストによるコード署名に対応していますか?
A: いいえ。対応していません。
Windows Vista の対応できるファイルダイジェストは、SHA-1 のみとなります。
署名時に使うコード署名証明書は、SHA-2 を利用することが可能です。
Q: インストール済みの SHA-1 コード署名証明書によって署名されたアプリケーションも、
2016 年 1 月 1 日以降に制限を受けますか?
A: いいえ。制限を受けません。
今回の対象は、2016 年 1 月 1 日以降に、インターネットからダウンロードされるアプリケーションが、「Mark of the Web ファイル」 である場合、制限の対象となります
Q: Mark of the Webとはなんですか?
A: Mark of the Webとは、プログラム ファイルがどのゾーンに属しているかに応じて、インターネット エクスプローラーからファイルに付与されるゾーン情報となります。この情報から Windows はプログラム ファイルがどこのゾーンからダウンロードされたファイルであることかを認識できます。本記事における「Mark of the Web ファイル」は、SHA-1 廃止ポリシーの対象となるインターネットゾーンからダウンロードしたファイルを指しております。
Q: コード署名に使ったタイムスタンプ証明書の有効期限が切れると、アプリケーションは使えなくなりますか?
A: いいえ。引き続き使うことができます。
SHA-1 コード署名証明書による署名で、タイムスタンプを付与する際に使われたタイムスタンプ証明書は、
有効期限が切れたとしても、アプリケーションの実行には影響ありません。
Q: ファイルダイジェストはどこで確認できますか?
A: 各インストーラーのプロパティにて、以下のように表示されます。この「ダイジェストアルゴリズム」の項目は、
今回の SHA1 廃止ポリシーの影響を受けません。
※参考情報
Windows Enforcement of Authenticode Code Signing and Timestamping
https://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-authenticode-code-signing-and-timestamping.aspx
※SHA1 ポリシーについての最新情報は、上記のURLをご参照ください。※
FAQ: SHA-1 廃止/SHA-2 移行に関するマイクロソフトのポリシー
https://blogs.technet.com/b/jpsecurity/archive/2015/11/02/faq-microsoft-policy-on-sha1-deprecation.aspx
ルート証明書プログラム
https://technet.microsoft.com/ja-jp/library/cc751157.aspx
Windows PKI - その2 - ルート証明書更新プログラムとは?
https://blogs.technet.com/b/jpntsblog/archive/2009/12/24/windows-pki-2.aspx
マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止
https://technet.microsoft.com/ja-jp/library/security/2880823
マイクロソフト セキュリティ アドバイザリ 3033929
Windows 7 および Windows Server 2008 R2 で SHA-2 コード署名サポートを利用可能
https://technet.microsoft.com/ja-jp/library/security/3033929.aspx
[IT 管理者向け] 残っていませんか? SSL/TLS 証明書の SHA-1 廃止はもうすぐ
https://blogs.technet.com/b/jpsecurity/archive/2016/02/08/sha1-deprecation-tls.aspx
10/21 本ブログを公開しました。
12/14 よくある質問を追加いたしました。
2/8 よくある質問ならびにリンクを追加しました。