Security SHA1を利用したアプリの利用にご注意を

Googleのセキュリティチームが2017/2/23にSHA1衝突を意図的に起こさせる手法を発見しています。

Google Online Security Blog: Announcing the first SHA1 collision

 

実はこの手法、この当時はどのように実行するのか公開されていなかったのですが、90日後にその手法が公開されることになっているのです。

90日後といえば、実はもうそこまで来ており、いつ公開され、悪用されてもおかしくない状況に入ってくるのです。

SHA1をよく利用するのは証明書。証明書といえばブラウザ。EdgeやIE、Chormeなどのブラウザでは、SHA1サイトにアクセスすると注意喚起される状態でしたが、5月のセキュリティ更新でさらに強固に、アクセスは危険である画面が表示されるようになりました。

5 月の Internet Explorer / Microsoft Edge の累積的なセキュリティ更新プログラムを公開しました – Japan IE Support Team Blog

 

ローカル証明書などではSHA1がまだまだ使える状況ですし、IISの自己証明書もSHA1のままです。(IISの証明書は暗号化強度を変えられないんですよね、、残念ながら)

が、ぜひこの機会に全面的に自分の証明書関連は問題がないか確認を進めていただくことをお勧めします!

音楽:竜宮小僧のうた