やじうまの杜
「Google Chrome」の閲覧画面にエラーが! ~“https://”のサイトにアクセスできない
「Internet Explorer」「Microsoft Edge」「Firefox」でも“SHA-1”証明書対応が終了
2017年2月1日 06:00
“やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。
窓の杜では毎日たくさんのWebサイトをチェックしていますが、最近「Google Chrome」でアクセスすると“この接続ではプライバシーが保護されません”というエラーが表示されるサイトがあることが編集部で話題になりました。閲覧画面全体に大きくエラーが表示されるので、割とインパクトがありますね。
調査してみると、当該サイトのセキュリティ証明書では“SHA-1”が利用されているようです。“SHA-1”は任意の長さの原文をもとに160ビット(20バイト)の値を生成するハッシュ関数で、NSA(米国家安全保障局)が考案し、1995年にNIST(米国標準技術局)によって連邦情報処理標準の1つとして標準化されました。以降、通信を暗号化して改ざんを防ぐHTTPS接続で広く使われるようになりました。オンラインバンクやネットショッピングの時にお世話になる、アドレスが“https://”から始まるヤツですね(ログインする際やクレジットカードを使う際は“https://”かどうかを必ずチェックするようにしましょう!)。
しかし、2005年ごろから有力な攻撃手法がいくつか発見されたことから、“SHA-1”は十分に安全なアルゴリズムとは言えなくなります。そこで近年、2001年に制定された後継“SHA-2”への移行が進められてきました。そしてとうとう、先日リリースされた「Google Chrome 56」でサポートが打ち切られたわけです。
これは「Google Chrome」だけではありません。たとえば、「Internet Explorer」と「Microsoft Edge」では2月14日以降、“SHA-1”を使った証明書を利用するサイトで警告が表示されます。また、「Firefox」に関しても、先日リリースされた「Firefox 51」で公的認証局によって発行された“SHA-1”証明書は、発行日に関わらずすべて“信頼できない接続”として扱われるようになりました。
もしネットショッピング中などに“セキュリティ証明書には問題があります”“安全な接続ではありません”などといったエラー画面が表示されたら、タブを閉じるなどして、そこから先へは進まないようにすることをお勧めします。問題を解決したい場合はサーバーの管理者へ連絡して、“SHA-2”証明書への移行をお願いしましょう。
