AppleがmacOS 10.13 High SierraやiOS 11では、SHA-1署名証明書のTLS接続を利用したアプリやメール、カレンダーなどのサービスも各サービスのサーバーへ接続できなくなると発表しています。詳細は以下から。
Appleは2017年1月、他のブラウザベンダーと同様にSafariおよびWebkitでTLS接続でSHA-1署名の証明書を利用しているWebサイトやサーバーへアクセスするとブラウザに信頼できないサイトという警告を表示し、4月のセキュリティアップデートではSafari/WebKitでSHA-1証明書のサポートを終了したと発表しましたが、その他のTLS接続は2017年後半までSHA-1証明書をサポートすると発表していました。
これに対しAppleは一昨日(USは08月09日)サポートドキュメントをアップデートし、SHA-1署名証明書のTLS接続を行うサーバーを用いたアプリやメール, カレンダー, VPNサービスなどのサポートを秋に予定しているmacOS High Sierra 10.13およびiOS 11、tvOS 11、watchOS 4アップデートで終了すると発表しています。
アップデート前
SHA-1 署名証明書は、Safari や WebKit で Transport Layer Security (TLS) 接続に使われていましたが、macOS Sierra 10.12.4、iOS 10.3、tvOS 10.2、watchOS 3.2 をもってサポート終了となりました。上記のアップデートをもって、オペレーティングシステムのデフォルトのトラストストアに保存されている、ルート認証局 (CA) が発行したすべての証明書について、サポートが終了しました。その他のすべての TLS 接続では引き続き 2017 年後半まで、SHA-1 で署名された証明書がサポートされます。Safari および WebKit では SHA-1 証明書はサポート対象外 – Apple サポート
アップデート後
macOS High Sierra 10.13、iOS 11、tvOS 11、watchOS 4 (今秋リリース予定) では、SHA-1 で署名された証明書はどの TLS 接続でもサポートされなくなります。SHA-1 で署名されたルート CA 証明書、企業が配布した SHA-1 証明書、ユーザがインストールした SHA-1 証明書は、影響を受けません。
[…]
macOS High Sierra 10.13、iOS 11、tvOS 11、watchOS 4 では、SHA-1 で署名された証明書で TLS 接続を確立しようとする App は、接続できなくなります。メール、カレンダー、VPN、その他のサービスに使われるサーバも同様です。SHA-256 による署名済み証明書に切り替えて接続エラーを回避する – Apple サポート
AppleのSHA-1証明書サポート終了のタイムラインは以下の通りで、Appleは今後もアプリやWebサイト、サービスをApple OS向けに運営していきたい場合はできるだけ早急にSHA-256で署名された証明書へ移行することを開発者に求めているので、関係される方はチェックしてみて下さい。
タイムライン
- 2017年01月
2017年春のセキュリティアップデート以降、SafariおよびWebKitでSHA-1署名の証明書を利用したTLS接続を終了すると発表 - 2017年04月
macOS 10.12.4, iOS 10.3, tvOS 10.2, watchOS 3.2のSafariおよびWebKitでSHA-1署名の証明書を利用したTLS接続を終了 - 2017年秋
macOS High Sierra 10.13, iOS 11, tvOS 11, watchOS 4では、アプリやメール, VPNサービスなど全てのSHA-1署名の証明書を利用したTLS接続のサポートが終了。
- SHA-256 による署名済み証明書に切り替えて接続エラーを回避する – Apple サポート
コメント