平素は、グローバルサインをご愛顧いただき誠にありがとうございます。
この度、Microsoft 社より、コードサイニング証明書におけるポリシーの更新情報が発表されました。
昨年弊社よりご案内いたしました内容の修正も含め、以下に詳細をお知らせいたします。
Windows 7 / Windows Server 2008 R2 が SHA-2 に対応
2015年3月10日、Windows 7 / Windows Server 2008 R2 において、SHA-2 コードサイニング証明書をサポートするという Windows Update が公開されました。
2014年10月14日に類似したアップデートが公開されていましたが、問題点が発覚したために、Microsoft Download Centerから削除されていました。
今回の新しいアップデートにより、Windows 7 / Windows Server 2008 R2 において、SHA-2コードサイニング証明書の検証を行う、SHA-2 でコード署名されたドライバを実行することが可能になります。
Windows Vista / Windows Server 2008 以前のプラットフォームは当該アップデートの対象外であり、SHA-2 証明書により署名されたカーネルドライバは、引き続きサポートされません。
SHA-1 コードサイニング証明書の発行が継続可能に
Windows Vista / Windows Server 2008 以前のプラットフォームで検証、実行が可能なコード署名済みドライバを提供するために、2016年1月1日以降も、認証局は SHA-1 コードサイニング証明書を発行し続けることができるようになりました。
しかしながら、SHA-1 はもはや安全とみなすことはできず、攻撃の影響を受けやすいことから、SHA-1 コードサイニング証明書はこれらの古いプラットフォームに限定して利用されるべきです。
Windows 7 以降のプラットフォームは、2016年1月1日以降、SHA-1 コードサイニング証明書の受け入れを停止します。
開発者は、対象のプラットフォームによって、SHA-1 と SHA-2 のコードサイニング証明書の両方を使い分ける必要があります。
署名ハッシュアルゴリズム対応一覧表
| 2015年12月31日以前 | 2016年1月1日以降 | |||
|---|---|---|---|---|
| SHA-1 | SHA-2 | SHA-1 | SHA-2 | |
| ユーザアプリケーション向け | ||||
| Windows XP SP 3 ~ Windows 8 | ○ | ○ | × | ○ |
| カーネルドライバ向け | ||||
| Windows XP SP 3 | ○ | × | ○ | × |
| Windows Vista | ○ | × | ○ | × |
| Windows 7 | ○ | ○ | × | ○ |
| Windows 8 | ○ | ○ | × | ○ |
| Windows Server 2008 | ○ | × | ○ | × |
| Windows Server 2008 R2 | ○ | ○ | × | ○ |
| Windows Server 2012 | ○ | ○ | × | ○ |
昨年3月17日告知分の修正について
上記の更新情報を受け、昨年3月17日に告知いたしました内容の一部を以下の通りに修正いたします。
※元の記事はこちらよりご参照ください。
SHA-2電子証明書への移行について
Microsoft社からの発表
[SHA-1 廃止ポリシー]
- 認証局は2016年1月1日までに新たなSHA-1 SSLサーバ証明書の発行をやめなければならない。
- SSLサーバ証明書については、Windowsは2017年1月1日までにSHA-1証明書の受け入れを中止する。
- コードサイニング証明書については、Windows 7 / Windows Server 2008 R2以降において、2016年1月1日以降にSHA-1によって署名されたコードの受け入れを中止する。
上記は弊社による部分訳です。詳細は以下の原文をご確認ください。原文:Windows Root Certificate Program - Technical Requirements version 2.0
SHA-1廃止ポリシーの図解
| 電子証明書の種類 | 有効期限 | 必須事項 |
|---|---|---|
| MS Authenticode対応 Object Signing対応 MS Office VBA対応 Adobe AIR対応 |
2016年1月1日以降 | SHA-1が必要なプラットフォームに対しては引き続き利用可能。 |
SHA-1のコードサイニング証明書をご利用中の場合
SHA-1にて再発行をご希望の場合当面の間、可能でございます。
SHA-1にて更新をご希望の場合当面の間、通常通り、契約期間に1年または2年をご選択いただけます。
SHA256 対応環境
SHA-1とSHA256では対応環境が異なります。詳細は以下のページをご覧ください。SHA256の対応環境について
よくあるご質問
Q:MS Authenticode対応コードサイニング証明書において、SHA-1で署名した場合、検証できなくなってしまうのでしょうか? 2016年1月1日以前にタイムスタンプ付きで署名されたコードは、Windows Server 2008 の延長サポートが終了する2020年1月14日までは検証可能です。ただし、Microsoft社がSHA-1の受け入れを中止すべきと判断した場合は、この期限は早まる可能性があります。
Q:MS Authenticode対応コードサイニング証明書において、カーネルモード署名でもSHA-2証明書で署名できますか。 2015年4月現在、Windows 7 / Windows Server 2008 R2以降において、SHA-2証明書におけるカーネルモード署名がサポートされております。
Windows Vista / Windows Server 2008以前には非対応のため、SHA-1証明書での署名が必要となります。
お問い合わせ
ご質問や不明な点などございましたら、下記よりお問い合わせください。
- E-mail : support-jp@globalsign.com
- Tel:03-6370-6500 受付10:00~18:00(土日祝日除く)