2015年11月11日に発生したMacのアプリが壊れ、起動しなくなる「MASpocalypse」問題はAppleがSHA-2証明書を発行したことが原因？

不具合

GMT 2015年11月11日に世界中のMacで一部のアプリが利用できなくなった問題は、開発者の間で「黙示（アポカリプス：Apocalypse）」を捩り「MASpocalypse」と呼ばれ始めていますが、この問題の原因は「AppleがMac App Storeの証明書にSHA-2を利用したからではないか？」とiMoreが報じています。

2015.11.14

記事内に広告が含まれています。

　2015年11月11日に発生した一部のMacアプリが壊れ、起動しなくなる「MASpocalypse」問題はAppleがSHA-2証明書を発行したことが原因ではないかとうい話題が出ています。詳細は以下から。

　グリニッジ標準時 2015年11月11日に世界中のMacで一部のアプリが利用できなくなった問題[1, 2]は、開発者の間で「黙示（アポカリプス：Apocalypse）」を捩り「MASpocalypse」と呼ばれ始めていますが、この問題の原因は「AppleがMac App Storeの証明書にSHA-2を利用したからではないか？」とiMoreが報じています。

iMore@iMore

Here’s what’s happening with the Mac App Store and ‘damaged’ apps, by @reneritchie https://t.co/ektC5Rjfj4

2015/11/14 03:04:42

The old MAS certificate used SHA-1 (secure hash algorithm 1) cryptography. Before it expired, Apple issued a new certificate, but one using SHA-2 (secure hash algorithm 2). This was supposed to be transparent, but once the old certificate expired, some people began experiencing problems.

[Here’s what’s happening with the Mac App Store and ‘damaged’ apps – iMore]

MASpocalypse前後の証明書

　iMoreの編集長Rene RitchieさんによるとAppleは当初、アプリの署名アルゴリズムにSHA-1を利用していましたが、問題が発生する前に署名アルゴリズムをSHA-2（SHA-256）へ変更。そのため、AppleのCAとアプリの間で以下の問題が起きたようです。

SHA-2を反映するためには古い証明書のキャッシュを削除するために、Mac（storeaccountd）を再起動しなければならなかった
いくつかのMacアプリには古いOpenSSL（libcrypto）が利用されており、これがSHA-2に対応していなかった

SHA-2 support in OpenSSL has been kicking around since 2005, so it’s really in everyone’s best interests to use it.

[Here’s what’s happening with the Mac App Store and ‘damaged’ apps – iMore]

　問題発生時にチェックした起動しなくなったアプリの署名アルゴリズムを確認してみたところ、確かにMASpocalypse前後で署名アルゴリズムが変更されており。現在は2023年まで有効なSHA-1証明書を発行しているようです。

　同様にSHA-1証明書からSHA-2証明書への移行はMicrosoftが2015年12月31日で発行を停止すると発表[1, 2]しており、GoogleやMozillaなどブラウザベンダーもサポートを徐々に縮小していくようなので、Appleも再度SHA-2への移行を行うものと思われます。

1. Microsoft 社の指針

Microsoft 社は 2013 年 11 月に発表した「Windows Root Certificate Program – Technical Requirements version 2.0」において、SHA-1 証明書に関する下記の指針を表明しました。

認証局は、2016 年 1 月 1 日までに新しい SHA-1 SSL およびコード署名証明書の発行を停止しなければならない。

Windows は 2017 年 1 月 1 日で SHA1 証明書での SSL 通信を拒否する。

[SHA-1 証明書の受付終了と SHA-2 証明書への移行について – サイバートラスト]

　この問題はiMoreのほか、Apple Developer Forumsでも議論されているので、詳しく知りたい方は関連リンクからApple Developer Forumsへどうぞ。

追記

　証明書の有効期限をチェックする場合はRB App Checker Liteを利用すると便利でした。

Appleちゃんねる@applechinfo

MASpocolypseなど署名問題でMacのアプリが壊れて開けなくなった場合「RB App Checker」を使うと署名のチェックが簡単にできて便利。 https://t.co/pd1PzU75p4 https://t.co/yBZLTemNPa

2015/11/15 14:59:24

関連リンク：

Here’s what’s happening with the Mac App Store – iMore

Damaged Mac App Store downloads – Apple Developer Forums

暗号技術入門第3版　秘密の国のアリス [Kindle版]

結城浩

SBクリエイティブ