この記事は過去のUPKIイニシアティブに掲載されていたものです

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-odcert:00084] Re: Google Chrome の SHA-1 証明書表示



椙山女学園の荻野です。

Yasuo Okabe wrote on 2014/12/02 17:28:
> 京都大学の岡部です。
> 
> Google Chrome のSHA-1証明書のアラート表示は、ちょっと勇み足というか混乱
> を招くと思っています。このあたりに詳しいです。
>> http://blog.livedoor.jp/k_urushima/archives/1750289.html

このサイトはとても参考になりました。

この中の「対応ポリシの問題点」の「有効期限の長短にかかわらず、ある時点で
の暗号危殆化の程度は全く同じ」であるにも関わらずステータス表示が異なるの
はおかしいというのは全くその通りだと思われます。

ただ、

> 前述のOSなどのレベルでアルゴリズムとしてSHA2署名をサポートしていたと
> しても、検証などで使おうとするSHA2証明書のトラストアンカとなるルート
> 証明書が「信頼するルート証明書」ストアに入っているかどうかは別の問題。
> 例えば全てのお客様や、全社員のWindows XP SP3に対してルート証明書を追
> 加させるという事はかなり困難。 

というのは勘違いのように見えます。ルート証明書は信頼性の検証がされないの
で SHA-1 かどうかは問題にされないのではと思います。

> Note: SHA-1-based signatures for trusted root certificates are not
> a problem because TLS clients trust them by their identity, rather
> than by the signature of their hash.
http://googleonlinesecurity.blogspot.jp/2014/09/gradually-sunsetting-sha-1.html


また、「最近のモダンなブラウザではSHA2証明書に対応していますが、」のくだ
りも SSL 3.0 を無効化する前提だと、古いクライアントは軒並み接続できない
ので、それほど問題にならない(というか SSL 3.0 を無効化する時点で問題に
なる)のではと思いました。


> とはいえ文句を言ってもGoogleが考え直してしてくれないことにはどうしようも
> ないので、新サービスでSHA-2が発行できるのようになるのを心待ちにしています。

結局、こうなりますね。


-- 
荻野 充 (おぎの みつる) ... 「萩(はぎ)」にあらず
GPG Key fingerprint = 7F26 5414 1805 F31B 1617  10B7 C117 07AE 1691 9BD1