【翻訳】中間者の介入とセキュリティの向上
この記事は、2016 年 1 月 6 日付で Mozilla Security Blog に投稿された Man-in-the-Middle Interfering with Increased Security(筆者: Richard Barnes)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。
2016 年 1 月 1 日から SHA-1 のサポートを廃止する(参考: 日本語訳)計画を以前にお知らせした通り、Firefox 43 からは SHA-1 によるダイジェストアルゴリズムで新規に署名された証明書を拒否するようになりました。新しく発行された証明書に SHA-1 が用いられているケースはそう多くないため、フィルタリングなしにインターネットへ接続しているユーザであれば、おそらくこの変更に気付かないでしょう。しかし、 "中間者" デバイス(セキュリティスキャナやアンチウイルスソフトを含む)の背後にいる Firefox ユーザは、この変更によって HTTPS の Web サイトへ接続できない場合があります。ユーザが HTTPS サイトに接続する際、中間者デバイスは Firefox に対して、サーバの真正な証明書の代わりに新しく作った SHA-1 の証明書を送信します。Firefox は新規の SHA-1 証明書を拒否するため、ユーザはサーバに接続することができません。
影響を受けているか調べるには
もし Firefox でこの記事(訳注: HTTPS でホストされている英語版の元記事)を閲覧できているのならば問題ありません。もし他のブラウザをお使いの場合は、Mozilla Security Blog を Firefox で閲覧できるか確かめてみてください。もし表示できなかった場合、"Advanced" をクリック(訳注: Firefox 43 では「技術的詳細を表示」をクリック)して "SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED" というエラーコードが表示されているならば、お使いの Firefox は影響を受けています。
影響を受けていた場合に何をすべきか
最も簡単なのは最新版の Firefox をインストールすることです。ただし、Firefox の自動アップデートは HTTPS で行われているため、影響を受けていない Firefox のコピーや他のブラウザを使い、手動でインストールすることが必要となります。
再インストールを避けたい場合、操作に詳しいユーザは about:config で "security.pki.sha1_enforcement_level" の値を 0 に変更することで対処できます(この場合、すべての SHA-1 証明書を受け入れることになります)。
また、アンチウイルスソフトやセキュリティスキャナなどのように、通信路上で中間者の役割を担っている機器を最新にしておくべきでしょう。とあるベンダは、SHA-1 を使わないようにするための更新を最近配布しています。
SHA-1 の廃止を引き続き進めます
私たちは今なお、Firefox における SHA-1 証明書のサポート廃止を進めています。中間者デバイスの背後にいるユーザに更新が届くようにするため、また影響を受けている人数をより正確に把握できるようにするため、最新版の Firefoxでは SHA-1 証明書のサポートを再び有効にしています。TLS の中間者デバイスを製造するベンダの方は、製品が新しいダイジェストアルゴリズムを用いるように更新するべきでしょう。