安全性に劣ると言われながら未だ多くのWebサイトで使用されている、「SHA-1証明書」。MozillaやGoogleも廃止へ向けた取り組みをおこなっているなか、大手ブラウザベンダーであるMicrosoftは、IE11とEdgeで、来年の2月14日以降、SHA-1証明書を使用したWebサイトのブロックを開始することを発表しました(Blogging Windows、Neowin)。
2017年2月14日以降に、IE11とEdgeで、SHA-1証明書を使用したWebサイトを読み込んだ場合、画面に「invalid certificate warning(有効でない証明書の警告)」というページが表示され、ユーザーにWebサイトの使用をとりやめるよう推奨する動作となります。
ただし全く閲覧できないわけではなく「Continue to this webpage」を選択すれば、引き続きSHA-1を使用したサイトを閲覧することも可能とされています。
この動作は、Microsoft Trusted Root CAに紐付けられたSHA-1証明書だけに関係し、自己署名したSHA-1証明書には影響しませんが、そのような場合でもできるだけ速やかにSHA-256に移行することが推奨されています。
SHA-1を使用しているサイトを管理している、サーバー管理者の方は作業を急いだ方が良さそうです。
