Mozilla Security Blog 日本語版

Mozilla Security Blog を日本語に翻訳(非公式)

【翻訳】ウェブの世界における SHA-1 の廃止

この記事は、2017 年 2 月 23 日付で Mozilla Security Blog に投稿された The end of SHA-1 on the Public Web(筆者: J.C. Jones)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。


(訳注:以下の翻訳記事における「今日」「明日」という語句は、英語版の元記事が掲載された 2017 年 2 月 23 日に基づくものです。)

ウェブの世界における SHA-1 の使用を廃止する計画を Mozilla2015 年から進めてきましたが(参考:日本語訳)、その計画もいよいよゴールに向かいつつあります。本日、CWI Amsterdam と Google の研究チームは SHA-1 の現実的な衝突手法を世界で初めて 公開しました。このことにより、SHA-1 アルゴリズムの非安全性が明らかになったのと同時に、ウェブセキュリティの要素技術として利用させなくするべきという Mozilla の判断がより強固となりました。

昨年の秋にお知らせした通り(参考:日本語訳)、SHA-1 を利用する Firefox のユーザ数は Firefox 51 のリリース以降徐々に減少しつつあります。明日からは Firefox 52 のリリースに伴い、この廃止方針が Firefox の全ユーザにデフォルトで適用されることになります。

まだ SHA-2 証明書へ移行していないウェブサイトにアクセスする場合、FirefoxSHA-1 が完全に廃止されるとユーザは影響を受けますが、その数はウェブのトラフィック全体の 0.1% を下回っています。安全性に問題のある暗号方式を Firefox から完全に廃止することと並行して、モダンで安全な HTTPS をウェブサイトの運用者が適用できるように支援する取り組みも継続して行います。

Firefox ユーザの皆様は、セキュリティに関する最新の更新・機能を利用できるよう、https://www.mozilla.org/firefox にアクセスして最新の Firefox へ常に更新されているようにしてください。

SHA-1 証明書に対する Mozilla の方針について、ご質問は mozilla.dev.security.policy のフォーラムまでお願いいたします。