web-dev-qa-db-ja.com

私の会社は内部ルートCAハッシュ方式をSHA-1からSHA-2に変更する必要がありますか?

私の会社には、Windows Server 2003にインストールされ、ハッシュ方式としてSHA-1を使用するルート認証局があります。

Windows Server 2012に移行します。

ブラウザのルート証明書を確認すると、ほとんどすべてのルートCAがSHA-1以下を使用していることがわかります。

私の質問は:

1)内部ルートCAでSHA-1からSHA-2に変更する必要がありますか、それともWebサイトの証明書で十分ですか?

2)今日、ブラウザでSHA-2を使用しているルートCAの影響は何ですか? SHA-1をサポートしていないブラウザーはまだありますか?一部のお客様はまだ古いバージョンのIEを使用しています。

3)ブラウザーはSHA-1を使用する信頼されたルートCAを停止しますか?

4
rcorreia

ブラウザのルート証明書を確認するほとんどすべてのルートCAがSHA-1以下を使用していることがわかります。

信頼されたルート証明書に使用される署名アルゴリズムは重要ではありません。署名は信頼を確立するために使用されます。定義により、信頼されたルート証明書は、来歴に基づいて暗黙的に信頼する証明書です(例:どこから来たのか、どのようにして信頼されたルートストアに取り込まれたのか-OS /ブラウザインストーラー、グループポリシーなどによって)信頼されたルート証明書の署名は、署名者に対して検証されることはありません(もちろん、一般的に自己署名されています)。むしろ、署名は信頼されていない証明書を検証するために使用されますオンザフライでブラウザに渡されますnot-yet-trusted serverによって。

言われていること]内部CAにSHA-2署名付き証明書を使用する価値があるので、人々は証明書チェーンを見て、SHA-1が悪い、SHA-2が良いと思います。 SHA-2を使用する場合は、この質問をする人に対処する必要はありません:)

1)内部ルートCAでSHA-1からSHA-2に変更する必要がありますか、それともWebサイトの証明書で十分ですか?

ルート証明書をSHA-2に変更する必要はありませんが、ユーザーや監査人からの質問を避けるのに役立ちます。

私は既存の証明書を再発行するという問題を経験しません。新しいSHA-2ルートを作成し、それを今後のすべての証明書署名に使用します。このようにして、既存の証明書の有効期限が切れると、ルートのSHA-1バージョンは今後数年でなくなります。

2)今日、ブラウザでSHA-2を使用しているルートCAの影響は何ですか? SHA-1をサポートしていないブラウザーはまだありますか?一部のお客様はまだ古いバージョンのIEを使用しています。

私はあなたが「(まだ)ブラウザがSHA-2をサポートしていない」という意味だと思います。はい、SHA-2( nifty互換性テーブル )をサポートしていない古いバージョンのブラウザーがまだありますが、ユーザーがそれらを実行している場合は、一般的な理由で強制的にオフにする必要があります。ルートCAのためではありません。

3)ブラウザーはSHA-1を使用する信頼されたルートCAを停止しますか?

それが起こっても、私は驚かないでしょう先に述べた「セキュリティの外観」の問題のため、将来的には。しかし、技術的な用語で言えば、ブラウザーは信頼されたルート証明書の署名を使用しないため、すぐにではありません。

7
gowenfawr