Skip to main content
MSRC

Month Archives: November 2016

SHA-1 ウェブサーバー証明書は警告!ウェブサイト管理者は影響の最終確認を

Thursday, November 24, 2016

こんにちは、村木ゆりかです。

以前よりマイクロソフト セキュリティ アドバイザリ 2880823、そして、このブログでもご案内しているとおり、証明書に利用されているハッシュ アルゴリズム SHA-1 の安全性の低下に伴い、利用廃止が進められています。

マイクロソフトでは、2017 年 2 月 14 日 (米国時間) ~~2017 年中旬 ~~ 2017 日 5 月 9 日 (米国時間) より、SHA-1 の TLS サーバー証明書を利用するウェブサイトを、Microsoft Edge および Internet Explorer 11 で閲覧した場合、信頼しないサイトとして警告を表示します。インターネットに公開しているウェブサーバーの管理者は、自サイトが 信頼しないサイトとして表示されないように、いまいちど確認をお願いいたします。

補足:すべての構成やシナリオに対応するために Microsoft Edge および Internet Explorer 11 における SHA-1 廃止に受けたタイムラインについて 2017 年中旬へ変更しました。2017 年 5 月より、SHA-1 証明書を利用したサイトを閲覧した場合、警告を表示し保護します。また、Windows 10 の次のリリースにおいては、SHA-1 証明書を既定のブラウザでブロックするようにアップデートを行う予定です。すぐに、SHA-1 証明書を利用したサイトをブロックしたい場合は、the Microsoft Edge Developer Blog にある手順に従い、ブロックを行ってください。

更新 (4/28) : 2017 年 5 月 9 日 (米国時間) に、Microsoft Edge and Internet Explorer 向けの更新プログラムの配信を開始します。これにより、SHA-1 証明書を利用したサイトを閲覧した場合、無効な証明書として警告を表示し、サイトをブロックします。なお、Windows 10 Creators Update は既定で Sha-1 証明書をブロックします。

更新 (5/9):マイクロソフト セキュリティ アドバイザリ 4010323

2017 年 5 月 10 日、マイクロソフトは SHA-1 証明書で保護されているサイトの読み込みをブロックし、無効な証明書の警告を表示するために Microsoft Edge および Internet Explorer 11 の更新プログラムをリリースしました。この変更で影響を受けるのは、End Entity 証明書または中間証明機関の証明書が SHA-1 を使用している、マイクロソフトの信頼されたルート証明書プログラムのルートにチェーンされた SHA-1 証明書のみです。エンタープライズ証明書や SHA-1 の自己署名証明書は影響を受けませんが、すべてのお客様が SHA-2 ベースの証明書に迅速に移行することをお勧めします。詳細については、「マイクロソフト セキュリティ アドバイザリ 4010323」 および 「Windows Enforcement of SHA1 Certificates」(英語情報) を参照してください。

(1) マイクロソフト SHA-1 証明書の制限措置 全体ロードマップ

マイクロソフト SHA-1 証明書に対する利用制限の措置は、3 段階で実施予定です。まずは、HTTPS ウェブサイトなどに利用されている TLS サーバー証明書を、Microsoft Edge および Internet Explorer 11 で閲覧した際から警告を表示し、徐々に、対象の証明書と対処の利用シナリオの範囲を広げます。

Furthering our commitment to security updates

Tuesday, November 08, 2016

Microsoft is committed to delivering comprehensive security updates to our customers. Information about the security updates we release are currently made available on the Microsoft Security Bulletin website. However, our customers have asked for better access to update information, as well as easier ways to customize their view to serve a diverse set of needs.

Moving Beyond EMET

Thursday, November 03, 2016

EMET – Then and Now Microsoft’s Trustworthy Computing initiative was 7 years old in 2009 when we first released the Enhanced Mitigation Experience Toolkit (EMET). Despite substantial improvements in Windows OS security during that same period, it was clear that the way we shipped Windows at the time (3-4 years between major releases) was simply too slow to respond quickly to emerging threats.

BlueHat v16 Keynote announced

Tuesday, November 01, 2016

Microsoft is excited to announce David Kennedy, CEO of TrustedSec and Binary Defense Systems, as the BlueHat v16 keynote speaker. David is a well-known speaker from the community, a published author, and the founder of the DerbyCon Security Conference. His keynote, entitled “The Security Monty Python and the Holy Grail”, will open the general conference this Thursday.