making for the future

〜食べたもの、気がついた事、時々ITネタの自分用メモ

SHA-1からSHA-2(SHA256)への国内主要サイトの移行状況

SSLサーバ証明書について、2016年末までにSHA-1からSHA-2(SHA256)に変更する必要がある。SHA-2のSSL証明書に移行した場合、Windows XP SP2以前の古いOSや、一部ガラケーからアクセスできなくなる。セキュリティ的にはとっとと移行した方がいいのが間違いないのだけど、前述の通り不具合(?)があるのでなかなかバサッとは切り替えづらい。そこで、国内主要サイトのSHA-2への移行状況を調べてみた(主要サイトが移行してたらいいわけできるしね)。

国内主要ウェブサイト(25サイト)のSHA-2対応状況

※2015年8月25日現在
※25サイトの抽出基準は独断

サイト名 署名アルゴリズム 発行元 備考
Google SHA-2 GeoTrust
Yahoo! JAPAN SHA-1 GlobalSign
JAL SHA-1 Symantec EVSSL
ANA SHA-1 Symantec EVSSL
三菱東京UFJ銀行 SHA-1 Symantec EVSSL
みずほ銀行 SHA-1 Symantec EVSSL
ジャパンネット銀行 SHA-1 Cybertrust EVSSL
野村証券 SHA-2 Symantec EVSSL
はてな SHA-1 Cybertrust
Twitter SHA-2 Symantec EVSSL
Facebook SHA-1 DigiCert
Amazon SHA-1 Symantec
楽天 SHA-1 Symantec EVSSL
Microsoft SHA-1 Symantec EVSSL
ニコニコ動画 SHA-2 Cybertrust EVSSL
Symantec SHA-2 Symantec EVSSL
朝日新聞 SHA-1 SECOM
日経新聞 SHA-2 Symantec EVSSL
東京電力 SHA-2 Cybertrust
JR東日本 SHA-1 Symantec
JR東海 SHA-1 GlobalSign
トヨタ自動車 SHA-1 Symantec
日立製作所 SHA-1 Symantec
toto SHA-1 Symantec EVSSL
首相官邸 SHA-2 Symantec

SHA-2のサイトは8サイトとまだあまりSHA-2化が進んでいない。銀行系、ECサイト系はやっぱりまだほとんどSHA-1。といっても、Googleが対応済みなので、yahoo!JAPANがSHA-2化したら、他の企業サイトもなだれる様に追随する予感。

スポンサード リンク


そもそもなぜSHA–2に移行する必要が?

  • SHA–1のSSL証明書は暗号強度が低いという事で非推奨となりゆくゆくは廃止となる流れ
  • 現在のところSHA–1の証明書は2017年1月1日以降使えなくなる
  • 2016年12月31日までにSHA–2に移行する必要がある
  • 現在もchrome等の一部ブラウザではSHA-1SSL証明書を使用してるサイトにアクセスするとひっそりと警告表示される

詳細はサーバ証明書の発行元の解説を参照
SHA-1 証明書の受付終了と SHA-2 証明書への移行について|サイバートラスト

その他おすすめ記事