Windows では 2017年2月以降、SHA1証明書サイトへのSSL通信が接続拒否されます。
SHA-1 廃止に関するロードマップの最新情報 – 日本のセキュリティチーム
2017 年 2 月に Microsoft Edge と Internet Explorer は SHA-1 で署名した TLS 証明書をブロックします。
そこで、サーバ証明書がSHA-2証明書になっているか、各ブラウザでの確認方法を説明します。
なお、セキュリティソフトの HTTPS接続のスキャン機能により、本来は SHA-1証明書のサイトでも SHA-2証明書を使用しているように見えることがあります。
先に末尾の「セキュリティソフトのHTTPS接続スキャン機能の注意点」の項目に目を通して下さい。
Google Chrome の場合
最新版では、httpsサイトにアクセス時にアドレスバーの左側に、鍵アイコンがあれば SHA-2証明書です。
無い場合は、SHA-1証明書です。
Edge の場合
ちゃんと WindowsUpdate が実施されていれば、httpsサイトアクセス時の、アドレスバーの左側の鍵アイコンの有無で分かります。
下のような鍵アイコンがあれば SHA-2証明書です。
無い場合は、SHA-1証明書です。
Internet Explorer の場合
ちゃんと WindowsUpdate が実施されていれば、httpsサイトアクセス時の、アドレスバーの右端の鍵アイコンの有無で分かります。
下のような鍵アイコンがあれば SHA-2証明書です。
無い場合は、SHA-1証明書です。
Firefox の場合
ブラウザのアドレスバーの鍵マークをクリックします。
緑色の字で「安全な接続」と出て、その右に > マークがあるので、押します。
次に「詳細を表示」の個所を押します。
次に現れた画面で「証明書を表示…」ボタンをクリックします。
証明書ビューアのダイアログが現れるので、「詳細」タブを選択し、「証明書のフィールド」の箇所で「Certificate Signature Algorithm」を選択します。
「フィールドの値」の箇所に記載される内容が「PKCS #1 SHA-1 With RSA Encryption」のように SHA-1 が含まれていれば、SHA-1証明書です。
「PKCS #1 SHA-256 With RSA Encryption」や「PKCS #1 SHA-512 With RSA Encryption」のようになっていれば、SHA-2証明書です。
セキュリティソフトのHTTPS接続スキャン機能の注意点
セキュリティソフトの HTTPS接続のスキャン機能により、本来は SHA-1証明書のサイトでも SHA-2証明書を使用しているように見えることがあります。
下の画像は、https://letsencrypt.jp/ に Internet Explorer でアクセス後、鍵アイコンをクリックした際の表示です。
本来は、このように「DST Root CA X3」で認証されています。
下の画像のように「DST Root CA X3」ではない場合は、セキュリティソフトのHTTPS接続のスキャン機能が働いていると思われます。
上の画像は、下記で紹介した ESET を使用している場合です。
6種類のセキュリティソフトをパフォーマンスデータで比較してみました パソコン鳥のブログ
ESET がHTTPS通信に割り込んでアクセスをチェックする為に、一旦SSL通信の暗号化を解除して、内容をチェック、再度暗号化した結果、ESET の証明書が使用されています。
副作用として、本来 SHA1証明書のサイトでも上記動作により、SHA2証明書のサイトであるように見えてしまいます。
従って、WEBページのサーバ証明書がSHA-2証明書になっているか、確認する際は、セキュリティソフトの HTTPS接続のスキャン機能を停止した上で、ブラウザでアクセスして下さい。
Avast、Bitdefender、Bullguard、ESET、Kaspersky については、下記ページに HTTPS接続のスキャン機能の停止方法が記載されています。
機能を停止した上で、ブラウザでアクセスして下さい。
安全なウェブサイトでのエラーコード "SEC_ERROR_UNKNOWN_ISSUER" の問題解決 | Firefox ヘルプ
サイトを確認した後は、停止した HTTPS接続のスキャン機能を有効にしてください。
コメント