こんにちは。
昨日SSLについて記事を書きました。
ブックマークをして頂いた中でうぃるさんからコメントが。
最近何かと話題になることの多いSSLについてまとめてみた - ウェブと食べ物と趣味のこと
SSLといえばこの前はてなのPro契約しようとしたページの証明書が切れていたような… 大丈夫だったのかちょっと不安ですw
あ、そういえば・・・わたしがPro登録したときも警告か何か出てたなと思い出して確認してみました。
はてなの決済画面はまだSHA1の証明書のまま
どういうことかと言うと、Webサイトの認証やデジタル署名に使われているハッシュ関数「SHA-1」がセキュリティの安全性が低いためブラウザの提供元や証明書の認証局などが「SHA-1」の廃止を進めているのだが、Webでメインの事業を行っている、はてながまだ安全性の低いSHA-1の証明書を使っている。
決済関連企業はピリピリ?
わたしが本業で(会社で)運営しているサイトでも決済サービスを使っているが、去年あたりから頻繁に決済会社から「切替は済みましたか?」といった内容の連絡が来ている。(しかも電話で)
決済が出来なくなると決済会社の収益にも左右するので躍起になっているのが伝わってくる。
【重要】 PCIDSSの準拠による弊社システムの仕様変更に関して|決済代行ならGMOイプシロン株式会社
対応しないとどうなるか?
はてなが対応しない訳はないが(笑)対応しなかった場合、どのような影響があるか。
改ざんされた証明書が利用可能となる問題が近年中に発生し、それにより攻撃者はコンテンツのなりすまし、フィッシング攻撃や中間者攻撃を実行することができます。
引用:FAQ: SHA-1 廃止/SHA-2 移行に関するマイクロソフトのポリシー – 日本のセキュリティチーム
HTTPS (HTTP over SSL)やFTPS、SMTPSを利用するとアプリ上でエラーが出て、正常に動作しない可能性が高い。具体的なケースとしては、Webサイトの管理者がSHA-1を使用していた場合、ユーザー側のブラウザ(Internet Explorer, Microsoft Edge)でサイトを閲覧できなくなる。
引用:SHA-1の廃止、2017年1月1日を待たずに移行を呼びかけ - マイクロソフト | マイナビニュース
もう少し余裕はあるとは言え、このようなリスクがあるのがわかっているのなら早めに対応をすべきだ。
最後に
いち個人ブロガーにこんなこと言われなくてもわかっているとは思うが、前倒しの可能性もあるようなので速やかな対応を望みます。
