Safari および WebKit での SHA-1 証明書のサポート終了について

Web サイトを運営されている方は、できるだけ早急に SHA-256 で署名された証明書に移行してください。

2017 年の春に公開される Apple オペレーティングシステムのセキュリティアップデートをもちまして、Safari や WebKit における TLS (Transport Layer Security) 接続での SHA-1 署名証明書の利用について、サポートを終了いたします。

このセキュリティアップデートをもって、オペレーティングシステムのデフォルトのトラストストアに保存されている、ルート認証局 (CA) が発行したすべての証明書について、サポートが終了となります。その他のすべての TLS 接続では引き続き 2017 年後半まで、SHA-1 で署名された証明書がサポートされます。SHA-1 で署名されたルート CA 証明書、企業が配布した SHA1 証明書、ユーザがインストールした SHA1 証明書は、今回の変更の影響を受けません。

変更点

今度のセキュリティアップデートの適用後、SHA-1 署名証明書を使って TLS 接続を確立しようとする Web ページにアクセスすると、Safari に通知が表示されます。クリックしないとサイトが読み込まれません。読み込み後、サイトは安全でない接続として Safari に表示されます。

TLS を利用するサイトに WebKit を使って接続する App では、接続先のサイトの証明書が SHA-1 で署名されている場合、エラーが表示されます。開発者の方は、開発した App でこうしたエラーを処理できるように対応をお願いします。

必要な対応

開発者や Web サイトの運営者は、各自のサイトにユーザが接続しようとしたときに警告が表示されないように、できるだけ早急に SHA-256 で署名された証明書に移行してください。SHA256 署名の証明書は多数の認証局が発行しています。

Apple のプラットフォーム上のデフォルトのトラストストアに保存されているルート CA 証明書のリストについては、以下の記事を参照してください。

公開日: