「プライバシーが保護されない」Webサイトが増えた?

Web閲覧に使われる通信プロトコルはHTTPですが、最近では通常の企業のWebサイトでもHTTPSの使用が推奨されています。

 

実際、HTTPSを使用するWebサイトが多くなっているのですが、2017年になってから、閲覧しようとするとブラウザに「プライバシーが保護されないサイトです」という旨のメッセージが表示されてしまい閲覧ができなくなったサイトがあります。

 

これらは、Webサーバのサーバ証明書の署名に”SHA-1”という技術を使っているサイトで発生しています。

SHA-1というのは暗号化技術の一種なのですが、2005年頃から解読の危険性が指摘されています。このSHA-1で署名されたサーバ証明書は偽造されたものである可能性があるということになります。偽造されたサーバ証明書は、フィッシング詐欺で本物の企業のサイトであると嘘の証明をするのに使われてしまいます。

 

SHA-1による署名の危険性が指摘されてから大分月日が流れたので、普通の企業ではそろそろ対策が終わっているだろうということで、各種WebブラウザでSHA-1で署名されたサーバ証明書を信頼できない証明書あつかいするようになりました。

 

ただし、日本国内で使われているサーバ証明書の数%はいまだにSHA-1を使っているらしいので、それらのサイトへアクセスすると「プライバシーが保護されないサイトです」という旨のメッセージが表示されます。企業でSHA-1のままにしていると、セキュリティ意識の低い企業とみなされてしまいますし、実際に閲覧されなくなってしまいますので早急にSHA-2のサーバ証明書に切替える必要があります。

 

・分かりやすい解説

http://www.keyman.or.jp/kc/30008509/

 

・結構難しいガイドライン

https://www.ipa.go.jp/files/000045645.pdf#search=%27SHA1+IPA%27

 

コラム一覧へ