11月に入って、ブラウザでSSL証明書が付いたページ表示にワーニングが表示されて戸惑った人はいないだろうか。現在、SSL証明書の署名に使われている技術に脆弱性があるとして、グローバルで署名方式を新しいものに切り替えようとしている。 ワーニングの表示は、Googleが古い署名ハッシュアルゴリズムの証明書を使っているサイトに対して注意喚起を行うための機能を新しいChromeに実装したためだ。Mozillaやマイクロソフトもこの動きに追従すると目されており、FireFox、IEといったブラウザでも今後はこのような警告を目にするようになるかもしれない。 SSL証明書の署名の脆弱性問題は以前から議論され、セキュリティ担当者などは十分認識している問題だ。しかし、実際にはなかなか新しい証明書への切り替えが進んでいない。なぜだろうか。 ●SSL証明書の署名に潜む脆弱性とは? その理由を議論する前に、古い(