SSLサーバ証明書をSHA-1からSHA-2に移行

Facebooktwittermail

今日見つけた記事。

クロネコメンバーズなど一部のHTTPSサイト、最新のChromeで表示できない現象が発生

http://internet.watch.impress.co.jp/docs/yajiuma/20150909_720199.html

えっ!? 本当に?ってことでアクセスしたら確かにトップページは閲覧できるけどhttpsのサイトは見えないですね。
Image20150909121413


上記サイトの証明書をFireFoxで確認すると脆弱な暗号化(TLS_RSA_WITH_RC4_128_MD5)ってなっていますが、これが原因ですか?
Image20150909181159

しかし神奈川県教育委員会ネットワークシステム(https://www.pen-kanagawa.ed.jp/)はChrome 45.0.2454.85mではERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSIONで閲覧できませんがFireFoxでは問題なく閲覧できます。
暗号化も大丈夫そう…
Image20150909194118


[Server: Hitachi Web Server]と返答が帰ってきますが、今回の件はWebサーバの実装によるものでしょうか? 老眼SEには難しいですorz

さて当サイトもhttpsで公開しています。
証明書はCheapSSL(https://cheapsslsecurity.com/)で$19.99/3年で購入して設定しています。

内容からしてhttpで十分なのですが勉強と暗号化と言うよりはサイト証明の意味合いが強いです。
で、当サイトもChrome バージョン 45.0.2454.85mで閲覧してみました。
Image20150909121640


一応閲覧できましたが中間CAにSHA-1があるために警告が表示されました。

せっかくなのでSHA-2にすべて移行します。

  1. My Accountにログイン
  2. My Accountにログインします。
    Image20150909134738

  3. ORDERS
  4. 左メニューからORDERSを選びます。
    Conplete OrdersからSHA-2に移行するサイトで[View]をクリックします。
    Image20150909140021

  5. Re-issue
  6. 証明書の詳細が表示されるので下の[Re-issue]をクリックします。
    Image20150909140022

  7. SHA-2で証明書の再作成
  8. SHA-2で証明書の再作成を行います。
    サイトのCSRとServerを設定して[Select the Sigunature Algorithm]で[SHA-2]を選択して[CONTINUE]をクリックします。
    Image20150909133834

  9. SUBMIT
  10. 作成する証明書の内容と連絡先メールアドレスに間違いが無ければ[SUBMIT]をクリックします。
    Image20150909133906

  11. 証明書要求の承認
  12. 暫くすると証明書要求に対して承認するようにメールが届きます。
    [件名:RapidSSL Certificate Request Confirmation]のメールに承認するためのURLが記載してありますのでそこにアクセス、承認します。
    Image20150909144115

  13. 証明書メール
  14. 1時間ぐらいすると証明書が作成されてメールで届きます。
    [件名:Subject: www.rootlinks.net RapidSSL Order: xxxxxxxxxxx Complete]にサーバ証明書(Web Server CERTIFICATE)と中間CA証明書(INTERMEDIATE CA)が記載されていまのでこれをWebサーバに設置します。
    設置後にWebサーバを再起動すれば完了です。

Chrome 45.0.2454.85mで再度アクセスしたら警告は無くなりました(^^)v
Image20150909190840

しかしopenssl 0.9.8系を使用しているのでTLSv1.1,TLSv1.2が使用できなから、そろそろ本気で移行を考えないとダメかな。

Chrome 45のセキュリティ改善により、開けないサイトが現れる(更新) – スラド
http://security.srad.jp/story/15/09/05/2140223/

うちみたいなホソボソと運営しているサイトなら何とでもなりますが、大手さんだといろいろ大人の事情があって更新も儘ならないでしょうね。
かと言っていつまでも放置するのもどうかと思うのでこの機会に改善が進むことを願っています。

Leave a Reply