MicrosoftはWindows 10およびWindows 11における1024ビットRSA (Rivest–Shamir–Adleman)鍵を使用するTLS (Transport Layer Security)サーバー認証証明書のサポートを段階的に終了する計画を発表しました。この決定は、Windowsのセキュリティを向上させるためのものです。
2048ビット以上の鍵長への移行
Microsoftは、RSA鍵の鍵長が2048ビット未満のTLSサーバー認証証明書の使用を非推奨とします。これにより、1024ビット鍵の使用が不可能となります。
Feature | Details and mitigation | Deprecation announced |
---|---|---|
TLS server authentication certificates using RSA keys with key lengths shorter than 2048 bits | Support for certificates using RSA keys with key lengths shorter than 2048 bits will be deprecated. Internet standards and regulatory bodies disallowed the use of 1024-bit keys in 2013, recommending specifically that RSA keys should have a key length of 2048 bits or longer. For more information, see Transitioning of Cryptographic Algorithms and Key Sizes – Discussion Paper (nist.gov). This deprecation focuses on ensuring that all RSA certificates used for TLS server authentication must have key lengths greater than or equal to 2048 bits to be considered valid by Windows. TLS certificates issued by enterprise or test certification authorities (CA) aren’t impacted with this change. However, we recommend that they be updated to RSA keys greater than or equal to 2048 bits as a security best practice. This change is necessary to preserve security of Windows customers using certificates for authentication and cryptographic purposes. | March 2024 |
Microsoftはまだ具体的な実施時期を明らかにしていませんが、適切な告知と移行期間が設けられると予想されます。
この動きは、業界および規制当局が2013年に1024ビット鍵の使用を禁止し、2048ビット以上のRSA鍵の使用を推奨して以来、より安全な認証基準への移行を促すものです。
対象外となる証明書
Microsoftによると、企業やテスト認証局 (CA)によって発行されたTLS証明書はこの変更の影響を受けません。しかし、セキュリティのベストプラクティスと