Windows Update(KB3123479)に伴う証明書エラーについて
ことの発端
仕事をしていて、製品を更新するためのサービスパックを時々つくるのですが、先日作って問題無かったものが、つい昨日「Intetnet Explorerからダウンロードしようとすると、エラーが出るんです」と。
調べて見ると「○○○○の署名が壊れているか、無効です。」と表示される始末。
署名が壊れた?と思い、ダウンロードしてみると、確かに再現する。でも再現しないPCもある。Chromeでは問題無い・・・。警告の発生するEXEもあれば、しないEXEもある。
取得したファイルは、掲載元のファイルと一致するし、電子署名も壊れていないと判明。正しく動作する。
なんだろう、と騒ぎまくった、ということです。
ソフトを展開する企業で働いているため、全体に影響する可能性が高いと判断し上長とスグに打ち合わせをしました。
何が原因だったか
調べてみたところ、どうやら電子署名で使用していた規格に問題があると判明。
エラーがないEXE:SHA-1規格 かつ 2015年12月31日以前に電子署名したもの
エラーがあるEXE:SHA-1規格 かつ 2016年01月01日以降に電子署名したもの
これやんけ。
https://support.microsoft.com/ja-jp/kb/3123479
あと、こちら。
今、通信の世界では署名規格が移りつつあります。
SHA-1→SHA-2へ。
事前に社内では検討課題に挙がったのですが、資料を読み誤った可能性が。
すみません。
そして、なんとか大事になる前でよかった...
これから検討します・・・。