アカウント名:
パスワード:
関連ストーリーに入ってないけどこれもかな?
Google の暴挙がユーザーを危険に晒す [security.srad.jp]
~ここから先は SHA-1 脆弱性対応に関する Google への批判です ~SHA-2 証明書への移行についても、Google の対応には問題があります。そもそも、SHA-1 → SHA-2 の移行スケジュールについては、2013年11月にMicrosoftが SHA-2 への移行を発表し、かなり前に Microsoft・認証局・業界団体等の間で、2015年12月 : SHA-1 証明書の新規発行をまでに停止2016年12月 : SHA-1 証明書の利用終了ということでコンセンサスが得られていたはずです。IE や Mozilla Firefox などのブラウザも、これに従い、2017年1月以降に SHA-1 証明書の拒否(Firefox は加えて、2016年以降に発行された証明書に警告を表示)というスケジュールでの移行を行うとしています。ところが、Google だけが自己中心的な暴挙に出て、業界のコンセンサスを無視した強行な移行を行おうとして、Chrome 39(2014年11月リリース)で証明書の有効期限が2016年以降のSHA-1証明書のhttps接続の際に、鍵マークを警告アイコンにするといった行為を行いました。確かに、SHA-1 の脆弱性問題については、数ある SSL/TLS 脆弱性の中でも例外となる珍しいセキュリティ上の問題でして、SHA-1で署名を偽造してSHA-2の署名付き証明書に見せかけることができるため、SHA-1のサポートをブラウザから完全に廃止するしかありません。「http(平文)のサイトと全く同じようにユーザーに見せれば良い」というのも当てはまりません。しかし、SHA-1 に脆弱性が新たな脆弱性が発見されたのではなく、CPU・GPUの性能向上で解読にかかる時間が徐々に減っているというだけのことで、強度が弱いのは10年以上前からわかっていたことです。業界のコンセンサスから勝手に1年前倒しする理由にはなりません。
~ここから先は SHA-1 脆弱性対応に関する Google への批判です ~
SHA-2 証明書への移行についても、Google の対応には問題があります。そもそも、SHA-1 → SHA-2 の移行スケジュールについては、2013年11月にMicrosoftが SHA-2 への移行を発表し、かなり前に Microsoft・認証局・業界団体等の間で、
2015年12月 : SHA-1 証明書の新規発行をまでに停止2016年12月 : SHA-1 証明書の利用終了ということでコンセンサスが得られていたはずです。
IE や Mozilla Firefox などのブラウザも、これに従い、2017年1月以降に SHA-1 証明書の拒否(Firefox は加えて、2016年以降に発行された証明書に警告を表示)というスケジュールでの移行を行うとしています。
ところが、Google だけが自己中心的な暴挙に出て、業界のコンセンサスを無視した強行な移行を行おうとして、Chrome 39(2014年11月リリース)で証明書の有効期限が2016年以降のSHA-1証明書のhttps接続の際に、鍵マークを警告アイコンにするといった行為を行いました。
確かに、SHA-1 の脆弱性問題については、数ある SSL/TLS 脆弱性の中でも例外となる珍しいセキュリティ上の問題でして、SHA-1で署名を偽造してSHA-2の署名付き証明書に見せかけることができるため、SHA-1のサポートをブラウザから完全に廃止するしかありません。「http(平文)のサイトと全く同じようにユーザーに見せれば良い」というのも当てはまりません。
しかし、SHA-1 に脆弱性が新たな脆弱性が発見されたのではなく、CPU・GPUの性能向上で解読にかかる時間が徐々に減っているというだけのことで、強度が弱いのは10年以上前からわかっていたことです。業界のコンセンサスから勝手に1年前倒しする理由にはなりません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
関連ストーリー (スコア:1)
関連ストーリーに入ってないけどこれもかな?
Google の暴挙がユーザーを危険に晒す [security.srad.jp]