パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Microsoftダウンロードセンター、3日からSHA-1署名のWindows向けコンテンツ提供を中止」記事へのコメント

  • by Anonymous Coward on 2020年08月01日 12時01分 (#3862875)

    SHA1が現実時間内に攻撃成立するという欠陥が見つかってもSHA1証明書の発行が2015年まで行われてた [cybertrust.co.jp]。
    電子証明書は長いもので有効期限が5年ほどだから、発行されてから5年の今年2020年がこういう切り替えタイミングになったと思われる。

    SHA1証明書を持っている人は発行ベンダーに申請したらSHA2などほかのものに切り替えできたけど、Windows 7やVistaなど古いものはSHA1署名が必要でSHA1を使わざる得なかった(Windows7はSHA2をサポートしたけど、それはつい最近のこと)。

    そういう理由のせいでこんなに切り替えに時間がかかってた。
    「セキュリティ」を考えるならもっと早くSHA2のサポートをさせたり、長すぎる有効期限をもう少し短くすべきじゃないのかな。

    #でも特に個人だと有効期限せまったときの電子署名更新が面倒だからもっと有効期限長くしてほしいw

    • by deleted user (48934) on 2020年08月01日 15時15分 (#3862960) 日記

      まず、「サーバ証明書」と「コード署名証明書」と「コード署名アルゴリズム」はそれぞれ別物です。

      SHA1が現実時間内に攻撃成立するという欠陥が見つかってもSHA1証明書の発行が2015年まで行われてた [cybertrust.co.jp]。
      電子証明書は長いもので有効期限が5年ほどだから、発行されてから5年の今年2020年がこういう切り替えタイミングになったと思われる。

      2015年まで発行されていたのはSHA-1の「サーバ証明書」の話です。
      SHA-1の「コード署名証明書」はCAにもよりますがSHA-2の署名検証ができないWindows Vistaを考慮 [digicert.com]して2018年末まで発行されていた [digicert.com]りします。
      いずれにしても、ストーリーは「コード署名アルゴリズム」の話なので、証明書の有効期限云々は的外れです。

      (Windows7はSHA2をサポートしたけど、それはつい最近のこと)。

      ストーリーの文章もそうですが、これはよくある誤解で、実際にはWindows 7は2014年からSHA-2コード署名をサポートしています。

      「えっ! Windows 7ってまだSHA-2に対応していなかったの?」「そんなばかな!」:その知識、ホントに正しい? Windowsにまつわる都市伝説(132) - @IT [atmarkit.co.jp]

      では、なぜこのタイミングでSHA-1で署名されたWindows向けコンテンツの提供を中止するかというと、単純に更新プログラムを適用してない状態ではSHA-2コード署名の検証ができないWindows 7のサポート切れを待ったからでしょう。

      親コメント
      • by Anonymous Coward

        なるほど。Win7との兼ね合いが有ったんですね。

      • by Anonymous Coward

        米国時間で8月3日になっても普通にDirectXエンドユーザーランタイム落とせるんだけど、やっぱり単に旧OS用のSHA-1 SSL証明書を使っていたサーバーをシャットダウンしましたって話じゃないの?

    • by Anonymous Coward

      Macやスマホみたいにすぐ過去を切り捨てればあっという間に切り替えられるよ

      • by Anonymous Coward

        SHA1証明書を持っている人は発行ベンダーに申請したらSHA2などほかのものに切り替えできたけど、Windows 7やVistaなど古いものはSHA1署名が必要でSHA1を使わざる得なかった(Windows7はSHA2をサポートしたけど、それはつい最近のこと)。

        なお、Microsoftダウンロードセンターで「人気のあるWindowsダウンロード」をみると、1位の「DirectX エンド ユーザー ランタイム Web インストーラ」はSHA-1のみで署名されており、

        この辺りも反論よろしく

      • by Anonymous Coward

        Objective-Cをさっさと切り捨てて頂けませんかね…

    • by Anonymous Coward

      よし、これからはMD5だ!

    • by Anonymous Coward

      数か月前のことなのでうろ覚えだけど、
      動作検証のためほぼまっさらのWindows7環境にAccessDatabaseEngine(だったと思う)をインストールしようとしたら「無効な証明書がうんぬん」と警告が。
      いろいろ検索してみると「証明書の期限が切れたので新しい証明書で署名されたもの(中身は同じなのでバージョン番号も変わらず)になっていて、新しい証明書はWin7では検証できない」という情報が。
      Win7はサポート終了してるからしかたないとは思うけど、AccessDatabaseEngine自体はWin7も対象システムとして明記してるんだからダウンロードページの注意書きにそのことを書いてくれよと思った。

      • by Anonymous Coward

        KB3035131を適用した上でインターネット接続環境でインストールすればWin7でも検証できるかと
        さすがに6年近く前の更新プログラムを適用してない環境は想定外だったんでしょう

        • by Anonymous Coward

          SPやパッチ当てないやつがドヤって害を撒き散らすのは昔も今も変わらんですな。
          win10のポリシーにまで影響与えてるし。

          • by Anonymous Coward

            私用じゃないんだぞ仕様だぞ、煽ってくんなや

    • by Anonymous Coward

      Windows Server 2008 / 2008 R2 の存在が大きかったんじゃないかと思ってる。
      こいつらが 2020 年 1 月になってサポート切れるのを待っていたんじゃないかな。

      アプリケーション署名が SHA-2 のみのサーバ向けパッケージがあるんだが、Windows Update も当ててないオンプレ 2008 にインストールできない問い合わせがいまだにぽつぽつと来る。

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...