マイクロソフト SHA-1で署名されたルート証明書サポートを5月10日に廃止

ハッシュ関数のSHA-1の危殆化(きたいか)、つまり同じハッシュ値を出力させることが可能であることが2017年に発表されました。

とはいえ、攻撃を成功させるための費用が高く、現実的ではなかったのですが昨今のCPU/GPUのプロセッサ処理能力向上とクラウドコンピューティングの発展で、そろそろ危ないって判断があるようです。

ってことで、マイクロソフトは認証局がSHA-1で署名されたルート証明書を期限切れにすることを許可するそうです。
Microsoft will allow the Secure Hash Algorithm 1 (SHA-1) Trusted Root Certificate Authority to expire. 

要するに、マイクロソフトが配っているルート証明書はSHA-2で署名した証明書のみサポートするってことです。
期限も切っていて、2021/05/10 08:00 AM (JST)です。

自分でインストールしたルート証明書やオレオレ証明書(自己署名)は影響を受けないのでSHA-1のままでも大丈夫です。

とはいえ、SHA-1の危殆化のリスクを考えればそろそろSHA-2に乗り換えた方がいいですね。

このSHA-1署名証明書廃止の件でユーザがやるべきことは何か？
特にないようです。
TLSやコード署名(実行ファイルなどに電子署名を付与する)が影響を受けますが、マイクロソフトは数年がかりで徐々に移行しており、本変更はその最終仕上げになるのでしょう。

参考

Microsoft to use SHA-2 exclusively starting May 9, 2021

FAQ: SHA-1 廃止/SHA-2 移行に関するマイクロソフトのポリシー – Microsoft Security Response Center

マイクロソフト、SHA-1で署名された「Windows」関連ファイルのダウンロードを停止へ

KB5003341: Issues you might encounter when SHA-1 Trusted Root Certificate Authority expires