SHA2(SHA-256)対応 SSL証明書への切り替え

2014年は、OpenSSL脆弱性やSSLv3の脆弱性などセキュリティ対応の多い年でした。
そして、まだ話題になることは少ないのですが 2015年にはSSL(HTTPS)で使用している署名アルゴリズム SHA-1が廃止となります。

実は、後1年後という話ではなく、Google Chromeなどは2015年の年明け早々から警告を表示するなどのロードマップが示されています。

これからSSL証明書を取得する場合には、早め早めで SHA-2(SHA-256)への切り替えをしていく必要があります。
今回、SSL証明書の切り替えがありましたので、SHA-2(SHA-256)の申請(CSR作成)の流れを紹介します。

ここでは、秘密鍵の生成は省略していますが、秘密鍵も毎年交換することをお勧めします。

署名アルゴリズム SHA-2(SHA256)の証明書発行要求(CSR)ファイル作成

[shell] # openssl req -new -sha256 -key ./www.[domainanme].key -out ./www.[domainname].csr
[/shell]

-sha256 のパラメータをつけることで、SHA2(SHA-256)のCSRファイルを生成することが出来ます。

CSRファイルを生成したら、申請の前に以下のコマンドで内容に間違いが無いかを確認します。

[shell] # openssl req -text -noout -in ./www.[domainname].csr
[/shell]

注目する部分は、Subject と Signature Algorithm の行になります。
Subject で表示されている 国,都市や組織名に間違いが無いこと、Signature Algorithm で sha256WithRSAEncryption など SHA-2 の署名アルゴリズムになっていることを確認します。

後は、通常のCSRからSSL証明書の取得の流れと同様に申請を行い新しいSHA-2対応の証明書を組み込みます。