SophosUTM SHA-1 証 明 書 廃 止 に 伴 う 注 意 点 2016.06 ネクスト セキュリティ 株 式 会 社
はじめに 平 素 より SophosUTM 製 品 をご 利 用 いただきまして 誠 にありがとうございます HTTPS の 通 信 に 使 われる 証 明 書 の 署 名 アルゴリズムの 一 つに SHA-1 があります この SHA-1 は 近 年 のコンピューターの 計 算 速 度 の 進 化 等 により 安 全 性 が 低 下 しました これに 伴 いマイクロソフト Internet Explorer グーグル Chrome Mozilla FireFox といった 主 要 な Web ブラウザでは SHA-1 の 証 明 書 を 使 った HTTPS の 通 信 をブロックする 予 定 であることが 発 表 されています SophosUTM では 特 定 のバージョン 以 前 で セットアップされた 機 器 では SHA-1 の 証 明 書 が 使 用 されているため WebAdmin やユーザポータル Web フィ ルタリングのアクセスがブロックされる 可 能 性 がございます これを 回 避 するためには 証 明 書 を 手 動 で 再 生 成 する 必 要 がございます 本 書 では 影 響 を 受 ける 機 器 の 見 分 け 方 と 証 明 書 の 再 生 成 方 法 につきましてご 案 内 致 します Web ブラウザ 各 社 の 対 応 につきましては 流 動 的 になっておりますが 2016 年 7 月 以 降 でブロックすることも 検 討 されているため 早 めに 対 応 することをお 勧 めします 詳 しくは 各 社 の 発 表 をご 確 認 いただきますようお 願 い 致 します この 資 料 は Web ブラウザ 各 社 からの 発 表 に 基 づき 作 成 しておりますが 現 段 階 (2016 年 6 月 )では 実 機 で 動 作 を 確 認 する 手 段 がないため 実 際 の 動 作 と 異 なる 可 能 性 があることをご 了 承 下 さい マイクロソフト https://blogs.technet.microsoft.com/jpsecurity/2015/11/02/faq-sha-1-sha-2/ Google https://security.googleblog.com/2015/12/an-update-on-sha-1-certificates-in.html Mozilla https://blog.mozilla.org/security/2015/10/20/continuing-to-phase-out-sha-1-certificates/ < 参 考 > 各 社 の 対 応 をまとめているサイト https://jp.globalsign.com/blog/2016/ssl_sha1_sha2_transition.html https://www.cybertrust.ne.jp/sureserver/productinfo/sha1ms.html SHA-1 証 明 書 廃 止 に 伴 う 注 意 喚 起 - 2 - NextSecurity Inc.
1 影 響 を 受 ける 機 能 Web ブラウザの 動 作 変 更 に 伴 い 通 信 がブロックされ アクセスを 続 行 することができなくなる 可 能 性 のある 機 能 は 以 下 になります 1. WebAdmin へのアクセス 2. ユーザポータルを 利 用 している 場 合 ユーザポータルへのアクセス 3. Web フィルタリングを 利 用 している 場 合 HTTPS の 通 信 ( ) Web フィルタリングについては 設 定 により 影 響 範 囲 が 変 わります [Web プロテクション] >> [Web フィルタリング] >> [HTTPS] 及 び [Web プロテクション] >> [Web フィル タプロファイル] >> [フィルタプロファイル] にて 個 別 のプロファイルを 作 成 している 場 合 は 各 プロファイ ルの[HTTPS]タブにおいて [URL フィルタリングのみ] を 選 択 している 場 合 又 は[ 以 下 を 復 号 化 してスキャン] においてスキ ャン 対 象 となっていないサイト UTM の URL フィルタリング 機 能 でブロックした 場 合 等 UTM のメッセージ 表 示 に 切 り 替 わる 部 分 がブロックされます [ 復 号 化 してスキャン] を 選 択 している 場 合 又 は[ 以 下 を 復 号 化 してスキャン] においてスキャ ン 対 象 となっているサイト 対 象 の HTTPS 通 信 全 てがブロックされます 以 下 の 設 定 の 場 合 は 影 響 を 受 けません [Web プロテクション] >> [Web フィルタリング] >> [グローバル] 及 び [Web プロテクション] >> [Web フ ィルタプロファイル] >> [フィルタプロファイル] にて 個 別 のプロファイルを 作 成 している 場 合 は 各 プロフ ァイルの[Web フィルタプロファイル]タブにおいて[オペレーションモード:] を [ 透 過 モード] に 設 定 し 且 つ[Web プロテクション] >> [Web フィルタリング] >> [HTTPS] 及 び [Web プロテクション] >> [Web フィ ルタプロファイル] >> [フィルタプロファイル] にて 個 別 のプロファイルを 作 成 している 場 合 は 各 プロファ イルの[HTTPS]タブにおいて[ 透 過 モードで HTTPS トラフィックをプロキシしない] にチェックが 入 ってい る 場 合 透 過 モードに 設 定 している 場 合 でも Web ブラウザ 側 のプロキシ 設 定 で SophosUTM を 指 定 している 場 合 は 標 準 モードでの 動 作 となります 上 記 影 響 を 受 けない 条 件 に 当 てはまらなくなりますので 先 の HTTPS のスキャン 設 定 に 従 い 通 信 に 影 響 が 出 ます SHA-1 証 明 書 廃 止 に 伴 う 注 意 喚 起 - 3 - NextSecurity Inc.
2 影 響 を 受 ける 機 器 の 見 分 け 方 9.313 以 前 のファームウェアバージョンで 初 回 セットアップを 行 った 機 器 全 てが 対 象 となります 現 在 ご 利 用 中 のファームウェアバージョンではなく 初 回 セットアップ 時 点 でのバージョンであることにご 注 意 下 さい ハード ウェアをリプレースしたがバックアップは 以 前 の 機 器 のものを 引 き 継 いだといった 場 合 は 以 前 に 使 用 されてい た 機 器 の 初 回 セットアップ 時 点 のファームウェアバージョンで 判 断 することになります 初 回 セットアップ 時 点 のファームウェアバージョンが 不 明 の 場 合 は 次 の 2-1 証 明 書 から 署 名 アルゴリズム を 確 認 する 方 法 を 参 照 して 直 接 証 明 書 をご 確 認 下 さい 2-1 証 明 書 から 署 名 アルゴリズムを 確 認 する 方 法 1. Internet Explorer を 起 動 し WebAdmin にアクセスします 2. アドレスバーの 右 側 にある[ 証 明 書 のエラー] 又 は[ 鍵 マークのアイコン]をクリックします 3. ポップアップしたメッセージの 最 下 部 にある[ 証 明 書 の 表 示 ]をクリックします 4. [ 詳 細 ]タブを 開 き [ 署 名 アルゴリズム]や[ 署 名 ハッシュアルゴリズム]を 確 認 します この 値 が[sha1RSA sha1]や[md5rsa md5]の 場 合 影 響 が 出 る 可 能 性 のある 機 器 となります [sha256rsa sha256]の 場 合 は 影 響 ありません < 影 響 が 出 る 可 能 性 のある 証 明 書 > SHA-1 証 明 書 廃 止 に 伴 う 注 意 喚 起 - 4 - NextSecurity Inc.
< 影 響 の 無 い 証 明 書 > SHA-1 証 明 書 廃 止 に 伴 う 注 意 喚 起 - 5 - NextSecurity Inc.
3 証 明 書 の 再 生 成 方 法 影 響 を 受 ける 機 器 の 場 合 ファームウェアバージョンを 9.314 以 上 にアップデートした 上 で 証 明 書 を 再 生 成 し ます ファームウェアのアップデートは[マネジメント] >> [Up2Date] >> [ 概 要 ]より 行 います 詳 しくは 機 器 に 同 梱 されている CD に 収 録 されている SophosUTM9 運 用 ガイド をご 参 照 下 さい また SophosUTM では SophosUTM 自 身 のセキュリティに 関 する 更 新 を 随 時 ファームウェアのアップデート にて 行 っておりますので 最 新 の 推 奨 バージョンまでアップデートすることをお 勧 めします 推 奨 バージョンにつ きましては 随 時 更 新 されますので 弊 社 サポートセンター(SophosUTM@nextit.jp 0570-081777)までお 問 い 合 わせ 下 さい 本 書 ではファームウェアを 9.314 以 上 にアップデートされている 前 提 で 証 明 書 の 再 生 成 方 法 をご 案 内 します 3-1 WebAdmin ユーザポータル 用 の 証 明 書 の 再 生 成 1. WebAdmin にアクセスし [サイト 間 VPN] >> [ 証 明 書 管 理 ] >> [ 証 明 書 ] を 開 きます 2. [ 新 規 証 明 書...] をクリックします 3. [ 証 明 書 を 追 加 ]ペインが 表 示 されるので 各 項 目 に 値 を 入 力 します [ 名 前 :] 証 明 書 に 付 ける 任 意 の 名 前 を 入 力 [メソッド:] 生 成 を 選 択 SHA-1 証 明 書 廃 止 に 伴 う 注 意 喚 起 - 6 - NextSecurity Inc.
[ 鍵 サイズ:] 2048 以 上 を 選 択 することを 推 奨 [VPN ID タイプ:] ホスト 名 を 選 択 [VPN ID:] SophosUTM のホスト 名 ([マネジメント] >> [システム 設 定 ] >> [ホスト 名 ])を 入 力 [ 国 :] Japan を 選 択 [ 州 (S)~ 組 織 単 位 (OU)までの 各 項 目 :] 入 力 は 任 意 使 用 可 能 文 字 は 半 角 の 英 数 字 及 び 半 角 記 号 のスペース '(アポストロフィ) -(ハ イフン),(カンマ) =(イコール) /(スラッシュ) ()( 括 弧 ).(ピリオド) :(コロン) [ 一 般 名 (CN):] SophosUTM のホスト 名 ([マネジメント] >> [システム 設 定 ] >> [ホスト 名 ])を 入 力 [メール:] 入 力 は 任 意 入 力 する 場 合 は 管 理 者 のメールアドレスを 入 力 [コメント:] 入 力 は 任 意 4. 値 の 入 力 が 終 わったら[ 保 存 ]をクリックして 証 明 書 を 生 成 します 5. [マネジメント] >> [WebAdmin 設 定 ] >> [HTTPS 証 明 書 ] を 開 きます 6. [WebAdmin/ユーザポータル 証 明 書 を 選 択 してください]の 項 目 にある[ 証 明 書 :]にて 先 ほど 作 成 した 証 明 書 を 選 択 します 7. 右 下 の[ 適 用 ]アイコンをクリックして 設 定 を 保 存 します 8. 2-1 証 明 書 から 署 名 アルゴリズムを 確 認 する 方 法 を 参 照 して[ 署 名 アルゴリズム]や[ 署 名 ハッシュアル ゴリズム]が[sha256RSA sha256]になった 事 を 確 認 します 3-2 Web フィルタリング 用 の 証 明 書 の 再 生 成 1. [Web プロテクション] >> [フィルタリングオプション] >> [HTTPS CA] を 開 きます SHA-1 証 明 書 廃 止 に 伴 う 注 意 喚 起 - 7 - NextSecurity Inc.
2. [ 署 名 CA] の 項 目 の[ 再 生 成 ]をクリックします 3. 各 ユーザが 利 用 されている 端 末 に 署 名 CA を 取 り 込 んでいる 場 合 は 再 生 成 した 証 明 書 を 再 度 取 り 込 み 直 します 4. 再 生 成 した 証 明 書 を 再 度 取 り 込 み 直 す 場 合 や 署 名 アルゴリズムを 確 認 する 場 合 は[ダウンロード]をクリッ クします 5. [ 証 明 書 をダウンロード]ペインが 表 示 されるので[エクスポート:]の 値 を[PEM]にして[ダウンロード]をクリッ クします 6. 証 明 書 を 任 意 のフォルダにダウンロードします 7. ダウンロードした 証 明 書 をダブルクリックして 開 きます 8. [ 詳 細 ]タブを 開 き [ 署 名 アルゴリズム]や[ 署 名 ハッシュアルゴリズム]が[sha256RSA sha256]になってい る 事 を 確 認 します 9. 各 ユーザが 利 用 されている 端 末 に 署 名 CA を 取 り 込 む 場 合 はダウンロードした 署 名 CA を 配 布 して 下 さ い SHA-1 証 明 書 廃 止 に 伴 う 注 意 喚 起 - 8 - NextSecurity Inc.