SHA-256 による署名済み証明書に切り替えて接続エラーを回避する

TLS セキュリティとして SHA-1 署名証明書をご利用の開発者、Web サイトの運営者、サーバの管理者の方は、できるだけ早急に SHA-256 で署名された証明書に切り替えてください。

SHA-1 で署名された証明書は、Safari や Webkit で Transport Layer Security (TLS) 接続にご利用いただいていましたが、macOS Sierra 10.12.4、iOS 10.3、tvOS 10.2、watchOS 3.2 のリリースをもってサポート終了となりました。上記のアップデートをもって、オペレーティングシステムのデフォルトのトラストストアに保存されている、ルート認証局 (CA) が発行したすべての証明書について、サポートが終了しました。 

macOS High Sierra 10.13、iOS 11、tvOS 11、watchOS 4 (今秋リリース予定) では、SHA-1 で署名された証明書はどの TLS 接続でもサポートされなくなります。 

SHA-1 で署名されたルート CA 証明書、企業が配布した SHA-1 証明書、ユーザがインストールした SHA-1 証明書は、影響を受けません。

変更点

macOS Sierra 10.12.4 以降および iOS 10.3 以降では、SHA-1 で署名された証明書を使って TLS 接続を確立しようとする Web ページにアクセスすると、Safari に通知が表示されます。通知をクリックしないとサイトが読み込まれません。読み込み後、サイトは安全でない接続として Safari に表示されます。

TLS を利用するサイトに WebKit を使って接続する App では、接続先のサイトの証明書が SHA-1 で署名されている場合、エラーが表示されます。開発者の方は、開発した App でこうしたエラーに対処するように徹底してください。

macOS High Sierra 10.13、iOS 11、tvOS 11、watchOS 4 では、SHA-1 で署名された証明書で TLS 接続を確立しようとする App は、接続できなくなります。メール、カレンダー、VPN、その他のサービスに使われるサーバも同様です。

必要な対応

開発者、Web サイトの運営者、サーバの管理者は、警告が表示されたり接続エラーが起きたりしないように、できるだけ早急に SHA-256 で署名された証明書に移行してください。SHA-256 署名の証明書は多数の認証局が発行しています。

Apple のプラットフォーム上のデフォルトのトラストストアに保存されているルート CA 証明書のリストについては、以下の記事を参照してください。

公開日: