サーバー証明書SHA2化について

Question

サーバー証明書がSHA2化された場合、古い携帯電話やスマフォなどから接続出来なくなるとありますが、何故接続出来なくなるのでしょうか？接続するには端末側でどのような開発が必要なのでしょうか？

zircon3 · Accepted Answer

No.2です。

> 対応するには、端末側のルートCA証明書を新しくしたり、利用する暗号化スィートを追加するだけではだめなのでしょうか？

先に書いたように携帯電話（ガラケー）はダメです。
　例えば一般のゲームなどのアプリケーション・プログラムのようにSHA-2を処理するモジュールを追加したとしても、肝心の証明書処理が必要な時に起動される証明書処理のメイン・モジュールならびに、このメイン・モジュールを呼び出すOS側のモジュールを置き換えることが出来ないので、追加したSHA-2を処理するモジュールは誰からも呼び出されない、、、ということになります。

簡単に言うとそういうイメージです。

zircon3 · Answer

No.1です。

> 理解出来ないとはどういうことでしょうか？
> 理解するにはどのようにすればよいのでしょうか？

携帯電話側はサーバーから送られて来た証明書を解析して信用できるサーバーだと判断します。その処理は携帯電話の工場出荷時からインストールされている解析プログラム（OSの一部と理解してください）が行いますが、解析するには「証明書というものはこういうデータ構造をしている」と分かっていないと正しく行えないのです。少し具体的に書くと「証明書のどの位置に何のデータが暗号化されて入っていて、それをどう加工すると暗号が解けて意味のわかる値となるか」、、、という処理が出来ないのです。
　で。SHA-1とSHA-2ではこの構造が異なるのです。入っているデータの種類も異なります。
　なので古い携帯電話などSHA-1しか解析できない（SHA-1しか知らない）機種に対し、サーバがSHA-2の証明書を送ると携帯電話のプログラムはSHA-1だと思って解析を試み、「こんなの証明書じゃない！」とエラーになるのです。
　簡単に言うとそういうことです。
　ならば携帯電話にインストールされている解析プログラムをSHA-2も解析出来るプログラムに更新すればよいじゃないか、、、となるわけですが、この部分はICチップに焼き込まれてるプログラムなので書き換えが出来ないのです。
　なのでSHA-2も解釈できる機種に更新しないといけないと。

その点スマートホンはPCと同じでOSも含めて更新できますから携帯電話のような問題は起きにくいというわけです。

zircon3 · Answer

理由はサーバから渡された証明書の内容を理解できないからです。
　各携帯電話会社が出している機器の対応はかなり進んでいたと思います。以下が参考になるでしょう。
　スマートホンは問題ないはずです。
　問題は古い携帯電話（ガラケー）でしょう。

https://www.cybertrust.ne.jp/sureserver/productinfo/sha1ms.html

サーバー証明書SHA2化について

No.2です。

No.1です。

理由はサーバから渡された証明書の内容を理解できないからです。

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング