ブラウザのサイト安全チェックが厳しくなり、最新版のブラウザでアクセスすると、“この接続ではプライバシーが保護されません”というエラーが表示されるサイトがあります。
これは、個人情報を扱うサイトで、URLが“https://”という暗号化された接続であっても、
安全性が低い暗号化技術「SHA-1」を使っているため、このサイトは危険!
という警告です。本来ならば、安全な暗号化「SHA-2」を使わないといけません(SHA-2移行問題と言われています)。
参考:
「Google Chrome」の閲覧画面にエラーが!
~“https://”のサイトにアクセスできない - やじうまの杜 - 窓の杜
http://forest.watch.impress.co.jp/docs/serial/yajiuma/1041798.html
ブラウザ別にみると、以下のバージョンから、安全でない暗号化「SHA-1」を使っているサイトではエラー表示が出るようになり、ブラウザのサイト安全チェックが厳しくなっています。
・Chromeは2017年1月の最新版の「Chrome 56」からエラー表示
・Firefoxは2017年1月の最新版の「Firefox 51」からエラー表示
・Microsoft Edge および Internet Explorer 11 は2017年2月14日から
インターネット・バンキングや、ネットショッピング中などに、
「セキュリティ証明書には問題があります」
「安全な接続ではありません」
などといったエラー画面が表示されたら、タブを閉じるなどして、そこから先へは進まないようにする方が安全です。
また、これまで付き合っていたサイトで、このようなエラー表示がでたら、安全性を考えておらず、そのサイトとは、付き合うことはやめたほうが無難です。
なお、個人情報を入力するサイトは、通常、“https://”というURLになっており、今までは安全と考えられていましたが、“https://”であっても、安全でない暗号化「SHA-1」を使っているサイトは、プライバシーが保護されず、危険です。
アメリカ国立標準技術研究所(NIST)などの米国機関や業界団体においては、「SHA-1」の使用を取りやめ、より強固なハッシュ関数である「SHA-2」への移行が推奨されています。
また、SSL/TLSサーバー証明書を発行しているサイバートラスト、GMOグローバルサイン、シマンテック、セコムトラストシステムズの各社では、SHA-2を用いた証明書への移行を推奨しています。
■URLが「https://」の場合は「SSL/TLS」という技術を活用している
個人情報を扱うサイトのURLは、通常「https://”」になっており、この「https」で始まるサイトにアクセスすると、ブラウザには鍵のマークが出てきます。
この鍵マークが、「SSL/TLS」という技術を使って、お互いが正しい通信相手であるかを確認し、やり取りするデータを暗号化しているという意味になります。
インターネット・バンキングやネットショッピングなどの個人情報を扱うサイトは、「https」で始まるURLになっており、「SSL/TLS」という技術を使っています。
この場合、住所・氏名、クレジットカードの番号を送る時は、①サイトのコンピュータが正しいかを確認して、②情報を暗号化して送信しています。
しかし、この「SSL/TLS」という技術には問題点があります。
■「SSL/TLS」には問題点があり、ブラウザを最新版に更新しないとダメ
「SSL/TLS」という技術には、今回紹介した「SHA-1」問題に加え、”POODLE”脆弱性([補足1])、”FREAK”脆弱性([補足2])があります。
ただし、最新版のブラウザでしか、これらの問題には対応しないため、インターネット・バンキングや、ネットショッピングを、安全に利用するために、ぜひとも、ブラウザは常に最新版に更新してください。
なお、”POODLE”脆弱性、”FREAK”脆弱性共に、Chrome、Firefox、Microsoft Edge および Internet Explorer 11 の最新版では対応済です。
詳しくは、下記のwikipediaの記事を参考にしてください。
ウェブブラウザにおけるTLS/SSLの対応状況の変化 - wikipedia
https://is.gd/ZTLY9M
[補足1]”POODLE”脆弱性 問題
”POODLE”とはSSLのバージョン3.0に存在する脆弱性のことを指します。
この脆弱性を突くことで、悪意のある攻撃者は、第三者の通信に介在してSSL/TLSを脆弱なバージョン(SSL3.0)に落とし、通信させることができます。
POODLE脆弱性を持つプロトコルをそのまま放置していると、暗号化に必要な鍵を事前に知らない第三者が、大量通信や中間者攻撃によって、暗号化されたデータを解読してしまう可能性があり、パスワード等の個人情報やCookie情報が第三者に漏えいする可能性があります。
この問題は、SSL 3.0や実装が不十分なTLS1.0/1.1を有効にしているサーバとの通信において発生します。
なお、2017年1月時点でのChrome、Firefox、Microsoft Edge および Internet Explorer 11の最新版では、SSL 3.0は”安全ではない”として、非対応になっています。詳しくは、上記のwikipediaの記事を見てください。
[補足2]”FREAK”脆弱性 問題
”FREAK”とは、SSL/TLS通信をしているパソコン(クライアント)が、SSL/TLS通信で扱った情報が、「Man-In-The-Middle(中間者攻撃)」により盗聴、改ざんされるというものです
その方法とは、攻撃者が安全性が低い「RSA Export Suites」を使わせるよう「中間者攻撃」を行い、攻撃が成功すれば、脆弱な暗号化通信が行われ、その通信に対する「中間者攻撃」によって、通信内容が盗聴や改ざんされるというものです
ただし、前提としてサーバー側、クライアント側、双方がFREAKの影響を受けるソフトウェアを使用している必要があります。
そのため、FREAK攻撃を防止するためには、脆弱性を解消した最新のWebブラウザにバージョンアップすることが重要となります。有名なブラウザはいずれもFREAKの脆弱性は解消されています。詳しくは、上記のwikipediaの記事を見てください。
参考:
SHA-1 ウェブサーバー証明書は 2017 年2月から警告!
Microsoftブログ 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2016/11/25/sha1countdown/
企業サイトが表示されなくなる日、迫る「SHA-2移行問題」 | IT Leaders
http://it.impressbm.co.jp/articles/-/12248
主要ブラウザのセキュリティ強化でHTTPSエラー?! | GMOグローバルサインブログ
https://jp.globalsign.com/blog/2016/browser_update_ssl_error.html
SHA-1証明書を用いたウェブサイト閲覧時の警告/エラーや表示について
フィッシング対策協議会が注意喚起 -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/1037904.html
今のままではSSL通信が使えなくなる? SHA-2証明書への移行ポイント
- ZDNet Japan
https://japan.zdnet.com/pickup/globalsign_201406/35049769/
