Firefox 43 には、"SHA-1" と呼ばれる古いアルゴリズムを使用して作られた新しいセキュリティ証明書を却下する変更が含まれています。Microsoft と Google は間もなく、彼らの製品にも同様の変更を加えます。この変更以降、 Mozilla Security Blog の投稿 で要約されているように、特定のサードパーティ製ツールを利用している一部の Firefox ユーザには、安全な (HTTPS) Web サイトへのアクセス時に問題が生じています。この記事は、この問題がユーザにどのようにの影響しているか、また、その解決策について説明します。
この問題の原因は?
一部のツールは、安全なインターネット通信に割り込み、安全なセッションを復号していくつかの機能を提供します。このようなツールには、セキュリティスキャナやアンチウイルス製品が含まれます。これらのツールには、ブラウザに SHA-1 証明書を提供するものがあります。Firefox がこのような証明書に遭遇すると、接続を拒否し、SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED エラーを表示します。これらのツールがすべての HTTPS セッションに割り込み、本物の証明書を SHA-1 証明書と置き換えるため、サイトの実際の証明書が SHA-1 を使用していなくても、このエラーがすべての HTTPS サイトで表示される原因になります。
この問題が影響するか調べるには?
Firefox でこの記事にアクセスできているのであれば問題ありません。しかしながら、HTTPS サイト (https://support.mozilla.org や https://blog.mozilla.org など) へアクセスしようとしてエラーページが表示される場合は、エラーページの ボタンをクリックしてください。エラーコードに SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED と表示されている場合は、この問題の影響を受けています。
この問題を回避するには?
この問題を解決する最善の方法は、Firefox のダウンロードページ から最新バージョンの Firefox をインストールすることです。最新バージョンには、この問題の修正が含まれています。ただし、この問題の影響がない Firefox のコピーや他のブラウザを使用し、手動で Firefox のインストーラをダウンロードして実行する必要があるでしょう。この問題の影響を受けていると、Firefox が自動的に更新できません。
- アドレスバー に about:config と入力し、EnterReturn キーを押します。
警告ページが表示されます。 をクリックし、about:config ページを開いてください。 - about:config ページで security.pki.sha1_enforcement_level 設定を検索します。
- security.pki.sha1_enforcement_level 設定をダブルクリックし、設定値を 0 に変更してください。
- about:config ページを閉じ、Firefox を再起動すると、この変更が適用されます。
この問題の正しい解決策は?
この問題は、ご使用のサードパーティ製のアプリケーションが、ブラウザの安全な接続に割り込むことが原因で起こります。この動作中に、Web サイトの証明書が SHA-1 署名を使用した証明書に置き換えられてしまいます。将来の SHA-1 証明書による問題を避けるため、SHA-1 証明書を提供しているツール (セキュリティスキャナやアンチウイルス製品など) を特定し、強力な署名ダイジェストアルゴリズムを使用するように設定しておくとよいでしょう。また、中間者アプローチを行う製品 (セキュリティソフトウェアなど) を使用している場合は、最新の状態に更新しておく必要があります。
