SSL証明書をSHA–1からSHA–2に更新する際にはご注意を!

現在SSL証明書の署名アルゴリズムがSHA–1からSHA–2へと変更になる過渡期となっています。今後はSSL証明書の新規取得や更新を行う際にはSHA–2の証明書を取得することになると思いますが、いつも通りの慣れた作業と思っていると、思わぬところでハマるかも知れません。

今回は実際に更新作業をした経験を踏まえて取得/更新作業の注意点について簡単にまとめてみました。

そもそもなぜSHA–2に移行する必要があるのか?

署名アルゴリズムがSHA–1の証明書は非推奨となり、ゆくゆくは廃止となる流れとなっています。基本的にSHA–1の証明書は2017年1月1日以降使えなくなると考えてよいでしょう。そして2016年12月31日までにSHA–2に移行する必要があります。

詳細はここで説明すると長くなりますので、次のようなSSL証明書の発行元のサイトの解説を参照してください。

SHA–1証明書の受付終了とSHA–2証明書への移行について -サイバートラスト株式会社

更新の際の注意点

対応ブラウザを確認

対応ブラウザに関してはシマンテック社のハッシュアルゴリズムのSHA–2移行とは にある「プラットフォーム対応状況」が参考になるでしょう。

PCやスマートフォンでは大部分のブラウザが以前から対応しており、ほぼ心配はありません。しかし携帯電話(いわゆるガラケー)となると、2010年くらいを境に古い機種が未対応となります。

なので携帯サイトではあえてSHA–1の証明書を使うといった対応が求められるかもしれません。とはいえ、2017年1月1日以降の有効期限を持つSHA–1の証明書は発行もできなくなる見込みですので、時期が来たら古い機種は切り捨てるほかありませんが…

CSRの作成オプションが異なる

CSRを作成する場合ですが、-sha256 をつける必要があります。なおCSRがSHA-2であっても、SHA-1で署名する認証局もあります。そのためCSR提出時にSHA-2で証明書を発行するオプションがあるか確認するようにしてください。

$ openssl req -new -sha256 -key www.example.com.key -out www.example.com.sha-2.csr

それぞれの発行元のサイトで発行手順を良く確認する

過渡期と言うことで発行元の対応にも若干の違いが見られるようです。まずSHA–1の証明書を発行してからSHA–2の証明書を再発行するという手順が必要だったり、管理画面や申し込みフォームの対応が不十分なケースもあります。

なので自分の使おうとする発行元のサイトで手順を良く確認の上で作業した方がいいでしょう。慣れで作業するのはくれぐれも禁物です。

正しい中間証明書を選択する

中間証明書がSHA–2のものに変わっています。間違ってSHA–1の中間証明書と組み合わせてしまうとユーザーにセキュリティの警告が出てしまいます。ただ発行元によって違うケースもあるかもしれませんので、それぞれのサイトを確認するのが確実です。

インストール後の動作確認

SHA–2のSSL証明書をインストールしたら、まずSSL Certificate Checkerのようなサービスで確認するのが確実です。補足すると、このサービスはHeartBleedやPOODLEなどの脆弱性のチェックもできますので合わせて確認すると良いでしょう。

ブラウザで確認する場合は確認の都度キャッシュの削除やブラウザの再起動などを行ってください。単にリロードしただけだと証明書が正しくなくてもセキュリティの警告が出ない場合があります。

古い証明書は取っておく

当たり前ですが、更新の際には古い証明書にすぐに戻せるようにしておきましょう。動作確認で異常が見つかった場合はすぐにロールバックする必要があります。

スケジュールに余裕を持って

既存のSSL証明書の有効期限ギリギリで更新作業を行おうとすると、上記のような手順の違いに躓いたときに致命傷となりかねません。余裕を持ってSHA–2の証明書に更新しておいた方がいいでしょう。

終わりに

以上、SHA–1からSHA–2への移行を乗り切るための注意点をいくつか挙げてみました。
;/;これらの中で特に重要なのは「インストール後の動作確認」です。それまでの手順で何か間違えていたとしても、確認作業を確実に行えば問題を最小限に食い止めることができます。本番環境の前に検証環境で確認できればなおベターでしょう。

ベテランのサーバ管理者にとってはSSL証明書更新などは大した作業ではありませんが、今は少し難しい時期となっています。ユーザーがサイトを開いたときにSSL証明書に関するセキュリティの警告が表示されてしまうというのは立派な障害となりますので、そうした事態を招かぬよう慎重に対応してください!

おしらせ

さくナレバナー