| |||||||||
|
|
|
|
|
|
|
|
|
|
|
| ■ 秀まるおのホームページ(サイトー企画) > ニュースリリース(コードサイニング証明書の変更について) |  |
 |
サイトー企画で公開しているインストール用のファイルのほとんどは、サイトー企画にてデジタル署名をしています。そのデジタル署名に使われる証明書を、2016年1月20日から、より高度な「SHA-2」と呼ばれるタイプに変更させていただきます。これにより、以下の注意が発生します。 古いWindowsで証明書が検証できなくなる WindowsXPのService Pack2以下、および、Windows 2000などの古いWindows上で、デジタル署名の正当性が確認できなくなります。例えば証明書を表示した時に、「証明書が壊れています」のような表示がなされたりします。 署名者の表記が英語になる コードサイニング証明書を発行してもらう審査が以前よりも厳しくなり、新しい証明書は「DUNS」という所に登録された英語表記の会社名で発行される形になりました。(もしかしたら日本語表記にする方法もあったかもしれませんが) SmartScreenフィルターでブロックされる可能性がある 新しいデジタル署名で署名されたファイルはまだ一般に広くダウンロードされてないために、WindowsのSmartScreenフィルターやその他のセキュリティ製品によって「安全でない」と解釈され、ブロックされる場合があります。 変更の理由: デジタル署名に使う証明書の「署名ハッシュアルゴリズム」の方式で、以前は「SHA-1」という方式でOKでしたが、このSHA-1の方式に脆弱性の問題が見つかりました。それに伴って、WindowsのSmartScreenフィルターなどで、2016年以降からは、SHA-1方式のデジタル署名は認めない方針となってしまいました。(認められなくなったのは、あくまで2016年以降に新しくデジタル署名されるファイルについてのみ) サイトー企画では、以前はThawteさんやSymantecさんから証明書を購入してましたが、今回からは、DigiTrustさんから新しい形式の証明書を購入しなおしています。 参考情報: ハッシュアルゴリズムのSHA-1からSHA-2への移行に関して(Symantec) Windows Enforcement of Authenticode Code Signing and Timestamping(Microsoftの英文) DigiTrustさんの商品ページ デジタル署名の確認方法(サイトー企画内)
|