マイクロソフト SHA-1で署名されたルート証明書サポートを5月10日に廃止
ハッシュ関数のSHA-1の危殆化(きたいか)、つまり同じハッシュ値を出力させることが可能であることが2017年に発表されました。
とはいえ、攻撃を成功させるための費用が高く、現実的ではなかったのですが昨今のCPU/GPUのプロセッサ処理能力向上とクラウドコンピューティングの発展で、そろそろ危ないって判断があるようです。
ってことで、マイクロソフトは認証局がSHA-1で署名されたルート証明書を期限切れにすることを許可するそうです。
Microsoft will allow the Secure Hash Algorithm 1 (SHA-1) Trusted Root Certificate Authority to expire.
要するに、マイクロソフトが配っているルート証明書はSHA-2で署名した証明書のみサポートするってことです。
期限も切っていて、2021/05/10 08:00 AM (JST)です。
自分でインストールしたルート証明書やオレオレ証明書(自己署名)は影響を受けないのでSHA-1のままでも大丈夫です。
とはいえ、SHA-1の危殆化のリスクを考えればそろそろSHA-2に乗り換えた方がいいですね。
このSHA-1署名証明書廃止の件でユーザがやるべきことは何か?
特にないようです。
TLSやコード署名(実行ファイルなどに電子署名を付与する)が影響を受けますが、マイクロソフトは数年がかりで徐々に移行しており、本変更はその最終仕上げになるのでしょう。