シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

Microsoft社のSHA1証明書の扱いに関するアナウンスについて

     

    1. Microsoft社の発表内容

    Microsoft社のOS (Windows) において、SHA-1で署名された証明書が廃止されるというアナウンスがされています。

     

    「SHA-1 ハッシュ アルゴリズムによって署名された証明書の廃止について」

    https://blogs.technet.microsoft.com/jpntsblog/2015/10/20/sha-1

     

    「FAQ: SHA-1 廃止/SHA-2 移行に関するマイクロソフトのポリシー」

    https://blogs.technet.microsoft.com/jpsecurity/2015/11/02/faq-sha-1-sha-2/

     

    これらの情報内でも触れられていますが、この措置の対象になる証明書は、あくまでも「マイクロソフト ルート証明書プログラム」に参加するCA局が発行する証明書です。
    「ルート証明書プログラム」とは、Microsoft社とアライアンスを結ぶCA局のCA証明書をWindows Updateを通じてクライアントOSへ配布するプログラムを指します。

    https://blogs.technet.microsoft.com/jpntsblog/2009/12/24/windows-pki-2/

    このため、前述のFAQにも記載がありますが、自己署名証明書や、プライベートCAが発行した証明書はこの対象ではありません

     

    2. CiscoのVPN関連製品での扱い

    2.1. サーバ/クライアント証明書

    VPNの接続時に利用するこれらの証明書については、Windowsがその証明書を検証する場合にのみ、SHA-1廃止の影響があります。
    前述のとおり、「ルート証明書プログラム」に参加するCA局が発行した証明書のみが対象になりますので、プライベートCAが発行したものや、自己署名証明書を利用する場合には対象となりません。

    Cisco の製品が証明書を検証する際には、現状の実装ではハッシュの種類によらず(MD5/SHA1/SHA2)検証を行います。弱いアルゴリズムに対して警告を 出すというような機能の実装はありませんので、お客様のセキュリティーポリシーにてアルゴリズムを選択するようにしてください。

     

    2.2. コードサイン証明書

    アプリケーションに埋め込み、そのバイナリが信頼できるものであるかどうかを検証するための証明書です。
    CiscoのVPN製品において、現時点でコードサイン証明書のSHA-1廃止の措置が影響するものは、AnyConnectのみです。

    AnyConnectのRelease noteに記載がある通り、これらのバージョンからコードサイン証明書がSHA2に対応するものに変更されています。
    Windows上で、この措置が実行される期限を超えて古いバージョンのAnyConnectを実行した場合、証明書の検証エラーが出る、最悪OSがアプリケーションを受け入れない等の現象が発生することが考えられます。
    期日までに対応するバージョンへのアップグレードを実施ください。

    [Release note上の記述]
    Due to the code signing changes, the current AnyConnect users must upgrade to 3.1.13011, 4.2.01035, or AnyConnect 4.3 releases in order to keep their AnyConnect functional on Windows platforms after February 14, 2017.

    1165
    閲覧回数
    5
    いいね!
    0
    コメント