自堕落な技術者の日記 : ChromeのSHA1証明書のアラート表示ポリシの問題点 - livedoor Blog(ブログ)
表を見ていただければわかる通り、Microsoft WindowsのSHA1移行ポリシに比べて、Chromeはかなりアグレッシブな設定になっており、開発版は2014年9月26日のアップデートから、安定版は2014年11月頃リリースの39から正常なHTTPS接続でないかのようなステータス表示となってしまいます。 今回のChromeのSHA1対応ポリシの問題点 今回のGoogle ChromeのSHA1証明書に対する対応計画は様々な問題があると考えていて、論点を整理したいと思います。 最も重要だと思うのが、ブラウザ毎にHTTPSのエラーや問題に対する表示の意味が異なってしまうという点です。今回のSHA1証明書の表示の計画がブラウザベンダー毎に異なるのはユーザが混乱することになり、良くなかったと思います。本来ならCA Browser ForumのBaseline Profileなどで、業界で意思
Google、「SHA-1」サポート中止のスケジュールを発表
米Googleは9月5日、データの改ざん検知などに使われるハッシュ関数の「SHA-1」の脆弱性が指摘されていることを受け、11月にリリース予定の「Chrome 39」からSHA-1のサポートを段階的に廃止すると発表した。 SHA-1を巡っては、安全度が低くなって「衝突攻撃」と呼ばれる攻撃も容易になりつつあるとGoogleは指摘する。主要ブラウザと電子証明書を発行する認証局の業界団体CA/Browser Forumは2011年、全認証局に対してできるだけ早くSHA-1の使用を段階的に中止するよう勧告。他の業界団体も同様の勧告を行っていた。 こうした現状に対応して11月に正式版が公開されるChrome 39では、2017年1月1日以降に失効するエンドエンティティ証明書(リーフ証明書)でSHA-1ベースの署名を使っているHTTPSサイトについて、「セキュアだがマイナーなエラーあり」と認識。URL
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
