パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Microsoftダウンロードセンター、3日からSHA-1署名のWindows向けコンテンツ提供を中止」記事へのコメント

  • by Anonymous Coward

    SHA1が現実時間内に攻撃成立するという欠陥が見つかっても SHA1証明書の発行が2015年まで行われてた [cybertrust.co.jp]。
    電子証明書は長いもので有効期限が5年ほどだから、発行されてから5年の今年2020年がこういう切り替えタイミングになったと思われる。

    SHA1証明書を持っている人は発行ベンダーに申請したらSHA2などほかのものに切り替えできたけど、Windows 7やVistaなど古いものはSHA1署名が必要でSHA1を使わざる得なかった(Windows7はSHA2をサポートし

    • by deleted user (48934) on 2020年08月01日 15時15分 (#3862960) 日記

      まず、「サーバ証明書」と「コード署名証明書」と「コード署名アルゴリズム」はそれぞれ別物です。

      SHA1が現実時間内に攻撃成立するという欠陥が見つかってもSHA1証明書の発行が2015年まで行われてた [cybertrust.co.jp]。
      電子証明書は長いもので有効期限が5年ほどだから、発行されてから5年の今年2020年がこういう切り替えタイミングになったと思われる。

      2015年まで発行されていたのはSHA-1の「サーバ証明書」の話です。
      SHA-1の「コード署名証明書」はCAにもよりますがSHA-2の署名検証ができないWindows Vistaを考慮 [digicert.com]して2018年末まで発行されていた [digicert.com]りします。
      いずれにしても、ストーリーは「コード署名アルゴリズム」の話なので、証明書の有効期限云々は的外れです。

      (Windows7はSHA2をサポートしたけど、それはつい最近のこと)。

      ストーリーの文章もそうですが、これはよくある誤解で、実際にはWindows 7は2014年からSHA-2コード署名をサポートしています。

      「えっ! Windows 7ってまだSHA-2に対応していなかったの?」「そんなばかな!」:その知識、ホントに正しい? Windowsにまつわる都市伝説(132) - @IT [atmarkit.co.jp]

      では、なぜこのタイミングでSHA-1で署名されたWindows向けコンテンツの提供を中止するかというと、単純に更新プログラムを適用してない状態ではSHA-2コード署名の検証ができないWindows 7のサポート切れを待ったからでしょう。

      親コメント
      • by Anonymous Coward

        なるほど。Win7との兼ね合いが有ったんですね。

      • by Anonymous Coward

        米国時間で8月3日になっても普通にDirectXエンドユーザーランタイム落とせるんだけど、やっぱり単に旧OS用のSHA-1 SSL証明書を使っていたサーバーをシャットダウンしましたって話じゃないの?

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...