SHA-1 オンライン証明書標準プロトコル署名の終了

マイクロソフトは、証明機関/Browser Forum (CA/B フォーラム) のベースライン要件に対する最近の変更に準拠するために、オンライン証明書標準プロトコル (OCSP) サービスを更新しています。 この変更では、2022 年 5 月 31 日までに、パブリックで信頼されたすべての公開キー基盤 (PKI) で、OCSP 応答に対する SHA-1 ハッシュ アルゴリズムの使用を終了する必要があります。

マイクロソフトでは、複数の PKI からの証明書を利用して、そのサービスをセキュリティで保護しています。 これらの証明書の多くでは、SHA-256 ハッシュ アルゴリズムを使用する OCSP 応答を既に使用しています。 この変更により、マイクロソフトによって使用される残りの PKI はすべて、この新しい要件に準拠します。

この変更はいつ行われますか?

マイクロソフトでは、2022 年 3 月 28 日から、SHA-1 ハッシュ アルゴリズムを使用する残りの OCSP レスポンダーの更新を開始し、SHA-256 ハッシュ アルゴリズムを使用するようにします。 2022 年 5 月 30 日までに、Microsoft サービスによって使用される証明書に対する OCSP 応答はすべて SHA-256 ハッシュ アルゴリズムを使用します。

移行の範囲

この変更は、SHA-1 ハッシュ アルゴリズムを使用していたマイクロソフトが運用する PKI に対する OCSP ベースの失効に影響します。 すべての OCSP 応答では、SHA-256 ハッシュ アルゴリズムが使用されます。 この変更は、証明書自体ではなく、OCSP 応答にのみ影響します。

この変更が行われる理由

証明機関/Browser Forum (CA/B フォーラム) では、投票メジャー SC53 からこの要件を作成しました。 マイクロソフトでは、更新されたベースライン要件に合った構成を維持するために構成を更新しています。

この変更による影響はありますか?

ほとんどのお客様には影響はありません。 ただし、SHA-256 をサポートしない一部の古いクライアント構成では、証明書の検証エラーが発生する可能性があります。

2022 年 5 月 31 日より後、SHA-256 ハッシュをサポートしないクライアントは証明書の失効状態を検証できず、構成によってはクライアントでエラーが発生する可能性があります。

SHA-256 をサポートするクライアントに従来のクライアントを更新できない場合は、クライアントを更新するまで OCSP をバイパスする失効チェックを無効にできます。 トランスポート層セキュリティ (TLS) スタックが 2015 年より古い場合は、不適合がないか構成を確認する必要があります。

次の手順

その他の質問がある場合は、サポートを通じてご連絡ください。