電網通信あみあみ

これならできちゃう!

【 SSL証明書の SHA-2 対応 】

「SSL証明書」についてASJからのメールを受け取ったあみですが…。

ami
「SSL証明書」が段階的に「SHA-2」対応になるんだって。
gen
マイクロソフト社やグーグル社がSHA-1のサポート廃止プランを発表したしね。
ami
「SHA-2」ってなんだろ?
gen
テキストデータを元に、別の固定長のテキストデータ(ハッシュ値)を生成する際に用いられる関数(計算式)を「ハッシュ関数」というんだ。

これまでの「SHA-1」では160ビット長のハッシュ値を扱っていたんだけど、最近のパソコンの性能の向上がめざましいこともあって、簡単に解析されてしまう、つまりセキュリティが脆弱になってしまったんだよ。
ami
「SHA-1」を使っているとアブナイってこと?
gen
そういうことなんだ。
簡単に解析されては暗号化の意味がないからね。
そこでセキュリティが向上するように、より複雑で現状解析が困難な「SHA-2」という規格を使うことになったんだよ。

SHA-1が160ビットだったのに対して、HA-2の場合は224ビット・256ビット・384ビット・512ビットがあるんだ。

SHA-1(160ビット) ハッシュ値の例
 da39a3ee5e6b4b0d3255bfef95601890afd80709

SHA-2(256ビット) ハッシュ値の例
 0xe3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

ami
「SHA-2」にするとどうなるの?
gen
ハッシュ値が長くなるということは、それだけ解析に時間がとてもかかるので、暗号通信しているデータが悪用されにくくなるということなんだ。
つまりSSL通信の安全性が向上するということだよ。
ami
そうなのね。
安全性があがるなら良いことだよね。
gen
そうだよね。
ただ、SHA-1のサポートをしなくなったブラウザでSHA-1対応SSLのサーバー通信しようとすると、アラートがでてSSL通信できないようになるんだよ。
安全性を優先するからね。
なのでサーバー側は安全にSSL通信を行うためにも、SHA-2対応SSLにしておかないといけないんだ。

逆にSHA-2未対応のブラウザからSHA-2対応SSLのサーバーにアクセスした場合もSSL通信できないから、ブラウザ自体も最新のものにアップデートしておかないといけないんだよね。
最新のブラウザならSHA-2に対応してるから大丈夫だけど。
ami
ブラウザもセキュリティを考えたら新しいほうがいいよね。
gen
インターネットの世界は日進月歩だからね。
危険に晒されないように情報収集はしておかないとね。
ami
がんばらないと!

次回をお楽しみに!

参考 : SSL証明書の SHA-2 対応について