Facebook、CloudFlare、SHA-1フォールバック

SHA-1証明書の安全性はますます低下しているため、SHA-1サポートを維持するためのCloudFlareとFacebookによる動きは直観に反するように思えるかもしれません。

関連コンテンツ

学び続けたいですか?

SSL.com のニュースレターを購読して、最新情報を入手し、安全を確保してください。

SHA-1証明書はますます安全性が低くなっているため、CloudFlareとFacebookによるSHA-1サポートの維持への動きは直感に反しているように思われるかもしれません。 ただし、両社は、数百万人のユーザーの安全なアクセスが危機に瀕していると主張しています。

少ない安全なアルゴリズム

この セキュアハッシュアルゴリズム1 (SHA-1)は1995年から証明書署名に使用されており、引退のために長い間延期されています。 SHA-1を解読すると、ブラックハットが自分の証明書に偽の署名を署名できるようになり、これらの不正な証明書を使用したHTTPS接続は、不注意な訪問者には完全に正当に見えます。 SHA-1は、リソースの豊富な(国が後援する)攻撃者による侵害に対して脆弱であることが以前から知られていましたが、最近まで、このコストの計算能力はほとんどの攻撃者にとって手の届かないものでした。 A 2015年XNUMX月にテスト SHA-1は、多くの犯罪組織の予算内で、ポルシェパナメーラとほぼ同じ価格でクラックできることを示しました。

SHA-2 –スプリングフォワード

へのアップグレード SHA-2 証明書とSHA-1の廃止は、Mozilla、Google、Microsoftなどの業界の重鎮によって強く奨励されています。 1年31月2015日以降、業界のベストプラクティスに従う認証局はSHA-1証明書を発行しなくなり、すべての主要なブラウザーは1年2017月XNUMX日までにSHA-XNUMX接続を拒否します(そうでない場合) より早く).

SHA-2証明書への移行は、長期的にはより強力で安全なインターネットを提供しますが、1億人を超えるユーザーがいるエコシステムでは、SHA-1の廃止はいくつかの頭痛の種を引き起こすことになります。 古いまたはレガシーのクライアントソフトウェアを使用しているかなりの数のユーザー(特に発展途上国のユーザー)は、SHA-XNUMXを使用するHTTPS接続、またはセキュリティをまったく使用しないという厳しい選択に直面します。

SHA-1 –フォールバック

これが理由です FacebookCloudFlareの は、古いテクノロジーを使用して検出された訪問者に、HTTPS対応のSHA-1署名付きバージョンのサイトを自動的に提供するように設計されたSHA-1フォールバックシステムを実装しています。 CloudFlareの計算によると、SHA-2は世界のブラウザの98.31%への接続を保護しますが、残りの1.69%は依然として約37万人を表しており、世界のより貧しく抑圧的な地域に集中しており、高度でないテクノロジーを介してインターネットにアクセスしています。

両社の表明された目的は、SHA-1接続に限定されたインターネットのセグメントを放棄することなく業界のベストプラクティスを遵守することです。 この目的のために、CloudFlareは、SHA-1固有の追加により、デジタル証明書のまったく新しいカテゴリの検証の作成も提案しています。 レガシー検証 (LV)カテゴリの既存のカノン ドメイン、組織、および拡張検証 タイプ。

SSL.comは 絶対に この提案の進捗状況について、常に通知してください。

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。