2017年1月末にリリースされるGoogle Chrome 48で、SSLのSHA-1証明書を使ったサイトにアクセスすると、警告が表示されるようになります。
IEやFirefoxでも同様の対応が取られます。
SHA-1 SSLサーバ証明書 対応状況(グローバルサイン)
どうなってしまうか
ほとんどのSSL証明書発行機関では昨年中でSHA-1での証明書受付を終了していますので、これからサイトをHTTPSに対応させようとする方は意識する必要がありません。
すでにHTTPSのサイトを開設している方は、要注意です。
GoogleはChromeでのSHA-1への対応について、段階的に警告を表示してきました。
Google Chrome 48では「interstitial warning」を表示するとしています。
どーんと目立つ警告が表示されるのでしょう。
スクリーンショットはまだ公開されていませんが、これとは違うのでしょうか。
SSL証明書のテストなどをしたことのある方にはおなじみの画面かと思いますが、申し込むフォームを開こうとしてこんな画面が表示されたら、どんなサービスか分かりませんが申し込む気にはなれませんよね。
見た目的には非SSLの場合よりたちが悪いイメージを持たれてしまいます。
GoogleはSSLをどんどん推進していますので、非SSLなフォームもすべてこのようになってしまう可能性はありますが。
Firefoxは2016年1月6日にはやばやとSHA-1のサポートを終了しましたが、一旦元に戻しています。
これは、セキュリティスキャナやウィルス対策ソフトがFirefoxに対してサーバーの、本物のSSL証明書を返さずに、自身が保持するSHA-1の証明書を返すために、ユーザーがサイトにアクセスできなくなったためです。
今日現在、そのようなセキュリティソフトも対策が完了しているものと思います。
証明書の確認を
以下のリンクは、グローバルサインでの2015年5月現在の証明書発行状況です。
SHA-2(SHA256)SSLサーバ証明書発行状況(グローバルサイン)
少し情報が古いですが、日本では1割程度がSHA-1のままです。
HTTPSのサイトを開設している方は、以下のサイトででSHA-2(SHA256)になっているかを確認してはどうでしょうか。
https://cryptoreport.geotrust.com/checker/views/certCheck.jsp