[10] SHA-1 の結果は20バイト = 160ビットです。
SHA
(HTTP)#✎[2] ダイジェストアルゴリズム SHA
は、
SHA-1 を RFC 4648 Base64 で符号化したものを表します >>1。
[2] RFC 3230 は、SHA-1 を RFC 2045 Base64 で符号化したものを表すとして定義し、 IANA登録簿に登録していました >>3。
Yahoo! JAPANではこの勧告に従って、2015年10月から2015年12月にかけてHTTPS通信を行う際のSSLサーバー証明書をSHA-1証明書からSHA-2証明書に切り替える予定です。ほとんどのお客様には影響がございませんが、Windows XP SP2以前の基本ソフト(OS)ではSHA-2証明書を利用したHTTPS通信をサポートしていないため、その場合はHTTPS通信を行うサービスをご利用いただけなくなります。
[5] SHA-1 の実装と称するものの中には、生のバイト列を返すもの、 Base16 を返すもの、 Base64 を返すものなど色々あるので注意が必要です。 また Base64 にもバリエーションがあるので、注意が必要です。
[6] 例えば SHA-1 + Base64 の実装と称するものの中には、末尾の =
(詰め文字) を省略する Base64 の変種を採用するものもあります。
一方でプロトコルによっては、そのような省略を認めていないかもしれません。
[7] 自堕落な技術者の日記 : ChromeのSHA1証明書のアラート表示ポリシの問題点 - livedoor Blog(ブログ) ( 版) http://blog.livedoor.jp/k_urushima/archives/1750289.html
Webサーバーのデータの改ざんを検知するハッシュアルゴリズム「SHA-1」SSLサーバ証明書について、
脆弱性があることが確認されています。
そのため、当社ではお客様の情報資産の安全性確保のため、現在使用している「SHA-1」から、
より安全性の高い「SHA-2」への移行を行います。
本対応に伴いまして、一部のフィーチャーフォン(ガラケー)やWindows XP Service Pack 2 ( SP2 ) を
ご利用のお客様は、 リクルートIDのログインフォームが表示されないなど、 サービスをご利用いただけない状態となります。
ご利用の端末機種の適応について、ご不明な点がございましたら各端末の提供会社へのお問合せをお願いいたします。
対象のお客様にはご不便をおかけいたしますが、ご理解いただきますようお願いいたします。
▼実施日時
2015年3月26日
[9] AWS Developer Forums: 重要なお知らせ: Product Advertising API のSSL認証ハッシュアルゴリズムのSHA256(SHA-2)への移行に関して ( 版) https://forums.aws.amazon.com/ann.jspa?annID=3242
現在、ほとんどのインターネット環境では「SHA-2」が適用されていますが、2015年12月22日(火)早朝に「SHA-1」環境のお客様は以下の会員サービスがご利用いただけなくなります。
エキサイトでは、セキュリティ強化を目的として、サーバー証明書を「SHA-1」から「SHA-2」に変更いたします。
更新後は、「SHA-2」に対応していないパソコン、スマートフォンからはご利用いただけませんので、ご注意ください。
サーバー証明書の切り替え日
2015年11月24日~12月16日
上記日程にて順次、切り替えを行ってまいります。
2016年3月6日(日)より、日興イージートレードのセキュリティ強化のためにSSLサーバー証明書の暗号化方式を、「SHA-1」方式から、より高度な方式である「SHA-2」方式に更新いたします。
本更新にともない、「SHA-2」方式に対応していないパソコンや携帯電話からは日興イージートレードをご利用できなくなります。
「日本の古本屋」では、情報セキュリティーの必要上から、
インターネットのSSL証明書を、より安全性の高い規格(SHA256=SHA-2)へと
平成27年10月5日(月)に移行いたします。
これに伴い、古いパソコンではサービスをご利用いただけない場合が生じます。
※2015年11月26日 Androidアプリ内でも告知の通り、12月3日(木)にサーバー証明書をより安全性の高い規格(SHA-2)に更新いたします。
それにともない、Androidバージョン2.2、2.3の一部端末にてアプリがご利用できなくなります。
Androidバージョン3以降、またはパソコンのブラウザでのご利用をお願いいたします。
セキュリティ強化対策のため、ご理解のほどよろしくお願いいたします。
セキュリティの維持を目的として、2016年11月ごろから「SHA-1」証明書をサポート対象外とする変更を行います。これにより、古いOSや古いブラウザ、一部の携帯電話(フィーチャーフォン)からログイン画面や登録情報の設定画面などにアクセスできず、はてなのサービスが利用できなくなる可能性がございます。
[18] Phasing Out SHA-1 on the Public Web | Mozilla Security Blog () https://blog.mozilla.org/security/2016/10/18/phasing-out-sha-1-on-the-public-web/
[19] SHA-1 deprecation countdown | Microsoft Edge Dev Blog () https://blogs.windows.com/msedgedev/2016/11/18/countdown-to-sha-1-deprecation/#D2SI5sQvkZYOPloM.97
[20] Google Online Security Blog: Announcing the first SHA1 collision () https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
[21] SHA-1証明書、MicrosoftのEdgeとIE 11でも無効に - ITmedia エンタープライズ () http://www.itmedia.co.jp/enterprise/articles/1705/11/news048.html
[22] RFC 3279 - Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile () https://tools.ietf.org/html/rfc3279#section-3
[23] 末端、中間の SHA-1 の証明書は見なくなりましたが、 ルート証明書はまだまだ SHA-1 のようです。
[24] Microsoft、Microsoft Edge 85以降でSHA-1証明書の使用を可能にする新たな(かつ非推奨の)グループポリシーを追加 | スラド セキュリティ () https://security.srad.jp/story/20/09/01/1951247/