平素より本サービスをご利用いただき、まことにありがとうございます。
本サービスにおけるSHA-1を使用した電子証明書の発行期限についてご案内申し上げます。
2013年11月13日、マイクロソフト セキュリティ アドバイザリ 2880823 において、
「マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止」が
発表※1されました。
2014年10月16日、CA/ブラウザフォーラムにて、ハッシュ関数アルゴリズム「SHA-1」を使用した
証明書の発行期限および利用期限が策定されました※2。
・「SHA-1」を使用した証明書の発行期限 :2015年12月31日まで
・「SHA-1」を使用した証明書の利用期限 :2016年12月31日まで
本サービスではSHA-1/2双方の証明書が発行可能でしたが、これらの指針にあわせ、サーバ証明書で
SHA-1の発行を停止いたします。
また同時に、クライアント証明書・コード署名用証明書の全てでもSHA-1の発行を停止いたし
ます。※3
予定日は、以下の通りです。
・停止予定日:2015年12月28日(発行申請は12月27日まで可能です)
・受付停止プロファイルID:
1 サーバ証明書プロファイル(SHA1)有効期限:2016年12月31日まで
2 サーバ証明書プロファイル(SHA1)有効期限:2015年12月31日まで
4 クライアント証明書プロファイル(SHA1)
6 S/MIME証明書プロファイル(SHA1)
8 コード署名用証明書プロファイル(SHA1)有効期限:2016年12月31日まで
詳しくはTSVファイルフォーマットト( https://certs.nii.ac.jp/manual/TSV_File_Format )などでご確認ください。
なお、受付停止予定日までに発行済みの証明書は、コード署名用証明書を除き※4、有効期限まで
ご利用いただけます。
ただしSHA-1の新たな脆弱性が指摘されており、各WebブラウザそれぞれでSHA-1を利用した証明書に、
利用期限が設定される可能性がありますので留意ください※5。
上記ご査収の上、不明点がございましたらサービス窓口( certs@nii.ac.jp )までお問い合わせ
ください。
※1 「マイクロソフトは、マイクロソフト ルート証明書プログラムのポリシーを変更したことを
お知らせします。新しいポリシーでは、2016 年 1 月 1 日以降、ルート証明機関は SSL と
コード サイニングの目的で、SHA-1 ハッシュ アルゴリズムを使って X.509 証明書を発
行できなくなります。」
https://technet.microsoft.com/ja-jp/library/security/2880823
※2 https://cabforum.org/2014/10/16/ballot-118-sha-1-sunset/
※3 本サービス開始当初よりご案内しておりました内容と、変更はございません。
※4 コード署名用証明書は、Windows 7 / Windows Server 2008 R2以降において、2016年1月1日
以降、SHA-1によって署名されたコードの受け入れを中止するとされています。
http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-authenticode-code-signing-and-timestamping.aspx
※5 マイクロソフトとMozillaでは、SHA-1を使った証明書の受け入れ中止時期を早ければ2016年の
6月から7月に前倒しすることを検討していると告知しています。
http://blogs.windows.com/msedgedev/2015/11/04/sha-1-deprecation-update/
https://blog.mozilla.org/security/2015/10/20/continuing-to-phase-out-sha-1-certificates/