パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SHA-1はもう安全ではない? 専門家チームが利用廃止の前倒しを提言」記事へのコメント

  • by Anonymous Coward on 2015年10月14日 1時47分 (#2899225)

    関連ストーリーに入ってないけどこれもかな?

    Google の暴挙がユーザーを危険に晒す [security.srad.jp]

    ~ここから先は SHA-1 脆弱性対応に関する Google への批判です ~

    SHA-2 証明書への移行についても、Google の対応には問題があります。そもそも、SHA-1 → SHA-2 の移行スケジュールについては、2013年11月にMicrosoftが SHA-2 への移行を発表し、かなり前に Microsoft・認証局・業界団体等の間で、

    2015年12月 : SHA-1 証明書の新規発行をまでに停止
    2016年12月 : SHA-1 証明書の利用終了
    ということでコンセンサスが得られていたはずです。

    IE や Mozilla Firefox などのブラウザも、これに従い、2017年1月以降に SHA-1 証明書の拒否(Firefox は加えて、2016年以降に発行された証明書に警告を表示)というスケジュールでの移行を行うとしています。

    ところが、Google だけが自己中心的な暴挙に出て、業界のコンセンサスを無視した強行な移行を行おうとして、Chrome 39(2014年11月リリース)で証明書の有効期限が2016年以降のSHA-1証明書のhttps接続の際に、鍵マークを警告アイコンにするといった行為を行いました。

    確かに、SHA-1 の脆弱性問題については、数ある SSL/TLS 脆弱性の中でも例外となる珍しいセキュリティ上の問題でして、SHA-1で署名を偽造してSHA-2の署名付き証明書に見せかけることができるため、SHA-1のサポートをブラウザから完全に廃止するしかありません。「http(平文)のサイトと全く同じようにユーザーに見せれば良い」というのも当てはまりません。

    しかし、SHA-1 に脆弱性が新たな脆弱性が発見されたのではなく、CPU・GPUの性能向上で解読にかかる時間が徐々に減っているというだけのことで、強度が弱いのは10年以上前からわかっていたことです。業界のコンセンサスから勝手に1年前倒しする理由にはなりません。

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...