Safari および WebKit では SHA-1 証明書はサポート対象外

Web サイトを運営されている方は、できるだけ早急に SHA-256 で署名された証明書に移行してください。

SHA-1 署名証明書は、Safari や WebKit で Transport Layer Security (TLS) 接続に使われていましたが、macOS Sierra 10.12.4、iOS 10.3、tvOS 10.2、watchOS 3.2 をもってサポート終了となりました。

上記のアップデートをもって、オペレーティングシステムのデフォルトのトラストストアに保存されている、ルート認証局 (CA) が発行したすべての証明書について、サポートが終了しました。その他のすべての TLS 接続では引き続き 2017 年後半まで、SHA-1 で署名された証明書がサポートされます。 

SHA-1 で署名されたルート CA 証明書、企業が配布した SHA-1 証明書、ユーザがインストールした SHA-1 証明書は、今回の変更の影響を受けません。

変更点

macOS Sierra 10.12.4 および iOS 10.3 では、SHA-1 署名証明書を使って TLS 接続を確立しようとする Web ページにアクセスすると、Safari に通知が表示されます。クリックしないとサイトが読み込まれません。読み込み後、サイトは安全でない接続として Safari に表示されます。

TLS を利用するサイトに WebKit を使って接続する App では、接続先のサイトの証明書が SHA-1 で署名されている場合、エラーが表示されます。開発者の方は、開発した App でこうしたエラーを処理できるように対応をお願いします。

必要な対応

開発者や Web サイトの運営者は、各自のサイトにユーザが接続しようとしたときに警告が表示されないように、できるだけ早急に SHA-256 で署名された証明書に移行してください。SHA-256 署名の証明書は多数の認証局が発行しています。

Apple のプラットフォーム上のデフォルトのトラストストアに保存されているルート CA 証明書のリストについては、以下の記事を参照してください。

公開日: