Microsoft セキュリティ アドバイザリ 4010323
Microsoft Edge およびインターネット エクスプローラー 11 での SSL/TLS 証明書の SHA-1 の廃止
公開日: 2017 年 5 月 9 日
バージョン: 1.0
概要
2017 年 5 月 9 日より、Microsoft は、SHA-1 証明書で保護されているサイトの読み込みをブロックし、無効な証明書の警告を表示するために、Microsoft Edge とインターネット エクスプローラー 11 の更新プログラムをリリースしました。 この変更は、エンド エンティティ証明書または発行元の中間で SHA-1 を使用する Microsoft 信頼されたルート プログラムのルートにチェーンする SHA-1 証明書にのみ影響します。 エンタープライズ証明書または自己署名 SHA-1 証明書は影響を受けませんが、すべての顧客が SHA-2 ベースの証明書に迅速に移行することをお勧めします。 詳細については、「Windows による SHA1 証明書の適用」を参照してください。
詳細については、マイクロソフト サポート技術情報の記事4010323を参照してください。
アドバイザリの詳細
問題のリファレンス
この問題の詳細については、次のリファレンスを参照してください。
| 参考文献 | 参考文献 |
|---|---|
| 一般情報 | SHA1 証明書の Windows の適用 |
| \ | SHA-1 非推奨のカウントダウン |
| 技術的な要件 | 脆弱な暗号アルゴリズムからの保護 |
影響を受けるソフトウェア
このアドバイザリは、次のオペレーティング システムに適用されます。
| Windows 7 |
|---|
| Windows 7 for 32 ビット システム Service Pack 1 |
| Windows 7 for x64 ベースのシステム Service Pack 1 |
| Windows Server 2008 R2 |
| x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 |
| Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1 |
| Windows 8.1 |
| 32 ビット システム用 Windows 8.1 |
| x64 ベースシステム用 Windows 8.1 |
| Windows Server 2012 R2 |
| Windows Server 2012 R2 |
| Windows 10 |
| Windows 10 for 32 ビット システム |
| Windows 10 for x64 ベースのシステム |
| 32 ビット システム用 Windows 10 バージョン 1511 |
| x64 ベースシステム用 Windows 10 バージョン 1511 |
| Windows 10 Version 1607 for 32-bit Systems |
| x64 ベースシステム用 Windows 10 バージョン 1607 |
| Windows Server 2016 |
| x64 ベースシステム用 Windows Server 2016 |
| Server Core のインストール オプション |
| x64 ベース システム用 Windows Server 2008 R2 (Server Core インストール) |
| Windows Server 2012 R2 (Server Core のインストール) |
| x64 ベース システム用 Windows Server 2016 (Server Core インストール) |
アドバイザリに関する FAQ
アドバイザリの範囲は何ですか?
このアドバイザリは、SHA-1 ハッシュ アルゴリズムを使用して署名された X.509 デジタル証明書を使用する特定のアプリケーションのリスクを評価し、管理者と証明機関がデジタル証明書に署名するためのアルゴリズムとして SHA-1 の代わりに SHA-2 を使用することを推奨することを目的としています。
これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか?
いいえ。 Microsoft では、すべてのお客様が SHA-2 に移行することをお勧めします。また、署名の目的でハッシュ アルゴリズムとして SHA-1 を使用することは推奨されておらず、ベスト プラクティスではなくなりました。 これは Microsoft 製品の脆弱性ではありませんが、お客様に関係する実際のリスクを明確にするために、Microsoft はこのアドバイザリを発行しています。
この脅威の原因は何ですか?
この問題の根本原因は、SHA-1 ハッシュ アルゴリズムの既知の弱点であり、衝突攻撃にさらされています。 このような攻撃により、攻撃者は元の証明書と同じデジタル署名を持つ追加の証明書を生成する可能性があります。 これらの攻撃に対する抵抗を必要とする特定の目的で SHA-1 証明書を使用することはお勧めしません。 Microsoft では、セキュリティ開発ライフサイクルでは、Microsoft ソフトウェアの既定値として SHA-1 ハッシュ アルゴリズムを使用しなくなりました。 SHA-1 衝突の弱点の詳細については、「SHAttered: 完全な SHA-1 の最初の衝突」を参照してください。
デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるいずれかのキーを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者がキーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書は、これを行う方法を提供します。 デジタル証明書は、個人、組織、およびコンピューターのオンライン ID を認定するために使用される電子資格情報です。 デジタル証明書には、公開キーに関する情報 (誰が所有するか、何に使用できるか、期限切れになったときなど) と共にパッケージ化された公開キーが含まれています。 詳細については、「デジタル証明書について」を参照してください。
デジタル証明書の目的は何ですか?
デジタル証明書は、主に個人またはデバイスの ID の検証、サービスの認証、またはファイルの暗号化に使用されます。 通常、証明書の有効期限が切れているか無効であることを示す不定期のメッセージを除いて、証明書についてまったく考慮する必要はありません。 このような場合は、メッセージに記載されている手順に従う必要があります。
証明機関 (CA) とは
証明機関は、証明書を発行する組織です。 ユーザーまたは他の証明機関に属する公開キーの信頼性を確立して検証し、証明書を要求する個人または組織の ID を確認します。
推奨されるアクション
Microsoft の信頼されたルート プログラム ポリシーの変更を確認する
このアドバイザリで説明されているトピックの詳細については、SHA1 証明書の Windows の適用に関する記事を参照してください。SHA-1 から SHA-2 への更新
証明機関は、2016 年 1 月以降、新しい SHA-1 証明書の発行を禁止されています。 お客様は、証明機関が SHA-2 ハッシュ アルゴリズムを使用して、証明機関から SHA-2 証明書を取得していることを確認する必要があります。 SHA-2 証明書を使用してコードに署名するには、Windows の SHA1 証明書の適用に関するこのトピックのガイダンスを参照してください。アクションの影響: 古いハードウェア ベースのソリューションでは、これらの新しいテクノロジをサポートするためにアップグレードが必要になる場合があります。
Windows を更新したままにする
すべての Windows ユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Windows Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新が有効になっている場合、更新プログラムはリリース時に配信されますが、必ずインストールする必要があります。
その他の情報
フィードバック
- Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。
サポート
- 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
- Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2017 年 5 月 9 日): アドバイザリが公開されました。
Page generated 2017-05-08 17:41-07:00。