本ブログは、Edge 公式ブログ「An update to our SHA-1 deprecation roadmap」の翻訳です。
2015 年 11 月、SHA-1 で署名した TLS 証明書をブロックする日程の当初の詳細も含めた SHA-1 廃止の情報について公開しました。ここでは、さらに詳細な内容について説明します。
Windows 10 Anniversary Update 以降、Microsoft Edge と Internet Explore は SHA-1 証明書で保護された Web サイトを信頼から除外し、これらのサイトの アドレス バーから鍵アイコンを外します 。これらのサイトは引き続き動作しますが、信頼されているサイトからは除外されます。この変更は近日リリースされる Windows Insider Preview ビルドに含まれ、今夏に広く展開される予定です。2017 年 中頃に Microsoft Edge と Internet Explorer は SHA-1 で署名した TLS 証明書をブロックします。
この変更は Windows 10 上の Microsoft Edge と Windows 7、Windows 8.1 および Windows 10 上の Internet Explorer 11 が対象で、マイクロソフト ルート証明書プログラムに参加している CA 配下の証明書のみが影響を受けます。Microsoft Edge と Internet Explorer 11 の F12 開発者ツール コンソールでは、サイト管理者や開発者向けに追加の詳細情報を提供します。
マイクロソフトの SHA-1 廃止に関する総合的な計画の追加情報については、Technet を参照してください。
SHA-1 で署名した TLS 証明書をブロックするテスト
コマンド プロンプト (管理者用) に以下のコマンドを入力することで、使用している SHA-1 証明書のログ記録を有効にすることができます。このコマンドは SHA-1 で署名した TLS 証明書の利用はブロックしませんが、指定されたディレクトリに証明書のログを記録します。
最初にログを取得するディレクトリを作成し、適切なアクセス許可 (ユニバーサル アクセス) を設定します。
set LogDir=C:\Log mkdir %LogDir% icacls %LogDir% /grant *S-1-15-2-1:(OI)(CI)(F) icacls %LogDir% /grant *S-1-1-0:(OI)(CI)(F) icacls %LogDir% /grant *S-1-5-12:(OI)(CI)(F) icacls %LogDir% /setintegritylevel L
証明書のログを有効にします。
Certutil -setreg chain\WeakSignatureLogDir %LogDir% Certutil -setreg chain\WeakSha1ThirdPartyFlags 0x80900008
テストが完了した後に設定を削除するには、以下のコマンドを使用します。
Certutil -delreg chain\WeakSha1ThirdPartyFlags Certutil -delreg chain\WeakSignatureLogDir
上記のコマンドおよび脆弱な暗号アルゴリズムに対するその他の保護に関する詳細情報については、以下のサイトを参照してください。脆弱な暗号アルゴリズムに対する保護
– Alec Oot, Senior Program Manager – Mike Stephens, Senior Program Manager
2016/7/24 更新
上述の SHA-1 で保護されたサイト向けの鍵アイコンの変更が、すべてのサポートされいてるバージョンの Microsoft Edge および Internet Explorer 11 でご利用いただけるようになりました。これらの変更は、次の更新プログラムに含まれています。
- Windows 10: KB3163912
- Windows 10 Version 1511: KB3172985
- Windows 7 and Server 2008 R2: KB3170106 and KB3172605
- Windows 8.1 および Server 2012 R2: KB3170106 and KB3172614
最終更新日: 2017 年 2 月 22 日 9:51 PM (米国時間)