SHA-1 ハッシュ アルゴリズムによって署名された証明書の廃止について

こんにちは。プラットフォームサポートの工藤です。

2016 年 1 月 1 日以降、 SHA-1 ハッシュ アルゴリズムによって署名されたコード証明書が廃止されます。

[IT 管理者向け] SHA-1 からの移行を推奨しています

http://blogs.technet.com/b/jpsecurity/archive/2014/10/15/sha1-migration.aspx

この廃止に関しまして、マイクロソフトサポートでは多くのお客様からシナリオ別にご質問を頂いています。

この Blog では、お客様からよく頂戴するご質問に回答いたします。

※以下の内容は 2015年 10 月時点での最新の情報になります。

※SHA-1 の脅威に応じて変更が行われる際には、本ページにて改めてアップデートいたします。

Q: 今回廃止の対象となるのは、どのような証明書になるのでしょうか？

A:

今回のSHA-1 廃止ポリシーの対象は、ルート証明書更新プログラムに参加している公的なルート証明機関から発行された SSL 証明書およびコード署名証明書です。

マイクロソフト ルート証明書プログラムに参加している公的な証明機関のリストは以下から確認いただけます。

 Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs)

 http://social.technet.microsoft.com/wiki/contents/articles/14215.windows-and-windows-phone-8-ssl-root-certificate-program-member-cas.aspx

Q: 具体的には、いつ、どのようにして SHA-1 の証明書が廃止されるのでしょうか？

A:

WindowsUpdate 経由で更新プログラムが配信され、SHA1 ハッシュ アルゴリズムが廃止される予定となっております。

詳細な日程につきましては、Update 情報があり次第、情報更新させていただきます。

・ルート証明書更新プログラムに参加している公的なルート証明機関から発行された コード署名証明書

-> 2016 年 1 月 1 日以降に配信予定です。

Q: 独自に証明機関を構築し証明書の発行を行っているのですが、今回の廃止対象となるのでしょうか？

A:

いいえ、証明機関がマイクロソフト ルート証明書プログラムに参加していない場合や、プライベート CA にて発行した証明書については、今回の廃止の対象に該当しません。

Q: ドライバの署名に SHA-1 を利用しているのですが今後どう対応すればいいですか？

A:

カーネルモード ドライバーおよび、ユーザーモードドライバーの署名に関しましては、今回の SHA1 証明書の利用停止の措置の対象外です。

詳細につきましては、以下の  blog をご参照ください。

Windows 10 と SHA-1 廃止ポリシーによるドライバー署名への影響について

http://blogs.msdn.com/b/jpwdkblog/archive/2015/09/18/windows-10-sha-1.aspx

Q: アプリケーションの署名に SHA-1 コード署名証明書を利用しています。

2016 年 1 月 1 日以降に利用を継続するためにはどうすればいいですか？

ユーザー モード アプリケーションにつきましては、今回の SHA1 証明書の利用停止の措置の対象です。

ご利用いただいている OS によっては、ご利用を継続されるにあたり以下のような条件を満たす必要がございます。

Windows Vista および Windows Server 2008　にて

OS サポートが終了するまでの間、2016 年 1 月 1 日を過ぎましても、2020 年 1 月 14 日を迎えるまで、SHA-1 で発行されたコード署名証明書は継続利用いただけます。

※ルート更新プログラムに参加している証明機関も、Windows Vista/Windows Server 2008 で利用する場合に限り、SHA-1 の証明書を発行することが可能です。実際の方針については、ルート証明書更新プログラムメンバーの各証明機関に問い合わせください。

Windows Server 2008 R2 および Windows 7　以降

コード署名された日付が、2016 年 1 月 1 日以前のタイムスタンプとなっているプログラムのみ、2020 年 1 月 14 日までご利用可能となります。

2016 年 1 月 1 日以降は、ルート更新プログラムに参加している証明機関は、SHA1 での証明書の新規発行が不可能となりますので、継続的に利用を検討されている場合はこの日程までにコード署名を行っていただく必要がございます。

※2020 年 1 月 14 日という日程につきましては、SHA-1 に対する脅威の状況に応じて、早まる可能性があります。

Q: アプリケーションの署名に SHA-1 コード署名証明書を利用していますが、

タイムスタンプが存在しない場合はどうなりますか？

// Windows Server 2008 および Windows Vista

SHA1 証明書のご利用を許容しておりますため、2016 年 1 月 1 日以降も利用できる見通しです。

SHA-1 に対する脅威の状況に応じて、早まる可能性があります。

// Windows Server 2008 R2 および Windows 7以降

SHA-1 コード署名証明書にて署名されており、かつタイムスタンプが存在しない場合は、2016 年 1 月 1日以降、署名された証明書およびコードやアプリケーションは、信頼しない証明書・コードとみなされます。

そのため、2016 年 1 月 1 日以降は警告表示が現れるなど、場合によってはご利用になれない可能性がございます。

※参考情報

ルート証明書プログラム

https://technet.microsoft.com/ja-jp/library/cc751157.aspx

Windows PKI - その2 - ルート証明書更新プログラムとは？

http://blogs.technet.com/b/jpntsblog/archive/2009/12/24/windows-pki-2.aspx

マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止

https://technet.microsoft.com/ja-jp/library/security/2880823

マイクロソフト セキュリティ アドバイザリ 3033929

Windows 7 および Windows Server 2008 R2 で SHA-2 コード署名サポートを利用可能

https://technet.microsoft.com/ja-jp/library/security/3033929.aspx