SHA-1 (セキュア ハッシュ アルゴリズム) は 160 ビットのハッシュ値を生成する暗号化ハッシュ関数ですが、弱いと考えられています。

知るのは非常に興味深いことです。インターネット上のWeb サイトの 93 % が SHA1 に対して脆弱です

Google はSHA-1 の段階的な廃止を開始しており、Chrome バージョン 39 以降では、2016 年 1 月 1以降有効な SHA-1 SSL 証明書を使用する Web サイトに視覚的なセキュリティ警告が表示されます。

Web 管理者は、今年、Freak Attack、Heartbleed、Logjam など、非常に多くの脆弱性に対処するのに忙しいです。これが Web セキュリティが進化する方法であり、Web セキュリティ管理者にとっての困難なタスクの 1 つは、Web アプリケーションを保護するために常に最新の知識を維持し、セキュリティの脆弱性に対して賢明に対処することです。

この記事では、SHA-1 の脆弱性を確認する方法と、これを修正する方法について説明します。

SSL SHA-1 バグをテストする

Web サイトの SSL が SHA-1 で署名されているかどうかをテストする最も簡単な方法の 1 つは、次の URL にアクセスし、URL を入力して [Go] をクリックすることです。

URL : https://shaaaaaaaaaaaaa.com/

sha1-テスト
sha1-テスト

SHA-1 で署名されている場合は、次のような結果が得られます

sha1-テスト-ダン
sha1-テスト-ダン

そうしないと、素敵なメッセージが表示されます。

sha1-テスト-いいですね
sha1-テスト-いいですね

SHA-1 を確認するのに役立つ次のことも確認してください。

SSL SHA-1 のバグを修正

SHA-1 を修正するということは、SHA-2 で署名された SSL 証明書を取得する必要があることを意味します。

一部の SSL 証明書プロバイダーは、SHA-2 署名付きの証明書を提供できますが、ほとんどの場合は、署名された新しい SSL 証明書を取得して実装することになります。

OpenSSL を使用して SHA-2 証明書を取得するには

openssl req -new -sha256 -key example.key -out example.csr

次の証明書をオンラインで生成することもできます。

https://csrgenerator.com/

これで、Web サイトの SSL が SHA-1 署名されているかどうかがわかり、これを修正する手順が理解できたと思います。

「 SHA-1 セキュリティ脆弱性スキャンと修正方法」についてわかりやすく解説!絶対に観るべきベスト2動画

これから始める脆弱性診断〜F-Secure、イエラエセキュリティ、FutureVulsの診断オプションを紹介 #devio_showcase
【騙されるな】ウイルスセキュリティーソフトは買うな!

Share via
Copy link