GitHubにおけるHTTPSのSHA-1サポート終了
GitHubは2026年7月にSHA-1のテスト運用を実施し、同年9月までにHTTPS接続におけるSHA-1暗号アルゴリズムを完全に廃止すると発表した。
キーポイント
廃止スケジュールと対象範囲
2026年7月14日にSHA-1を無効化するテスト運用を行い、9月15日よりGitHubおよびCDN全体で完全に禁用する。GitHub Enterprise Serverは影響を受けない。
クライアント側の準備要件
ブラウザ、API利用フレームワーク、Gitクライアントのいずれも最新バージョンへの更新が必要であり、OSやTLSバックエンド(例:OpenSSL)の更新が必須となる。
自己検証と対策方法
https://github.dev へのアクセスでSHA-1無効化環境での動作を確認でき、現代のブラウザやGitバージョンを使用していれば接続エラーは発生しない。
影響分析・編集コメントを表示
影響分析
業界全体の暗号規格見直しの一環として、GitHubが主要プラットフォームでSHA-1を廃止することは、セキュリティ脆弱性対策の標準化を加速させる。開発者はインフラとツールのバージョン管理を徹底する必要があり、特にレガシーなCI/CD環境や社内Gitサーバーの運用において事前検証が必須となる。
編集コメント
暗号アルゴリズムの廃止はセキュリティ業界では標準的な流れだが、GitHubのような大規模プラットフォームが実運用でスケジュールを明示することは開発者の準備期間確保に寄与する。レガシーな社内GitサーバーやCIパイプラインの監査を先送りせず、早期にTLS設定の見直しを行うべきである。
変更内容
GitHubおよび当社のCDN(コンテンツデリバリーネットワーク)におけるHTTPSでのSHA-1の使用を削除します。これにより、GitHubウェブサイトを表示するために使用されるブラウザ、GitHub APIを使用するすべてのソフトウェア、およびHTTPS経由でpush/pullを行うGitクライアントに影響があります。これらの変更はgithub.comに対して適用され、GitHub Enterprise CloudおよびData Residency付きGitHub Enterprise Cloudが含まれます。GitHub Enterprise Serverには影響しません。
廃止スケジュール
廃止への移行を促すため、SHA-1を一時的に無効化する「ブラウンアウト」を実施します。ブラウンアウトの影響を受ける場合は、より現代的なTLS(Transport Layer Security)アルゴリズムのサポートを追加するよう計画を立てる必要があります。SHA-1の非推奨化および削除に関する予定スケジュールは以下の通りです:
2026年7月14日:ブラウンアウト。UTCで00:00から18:00にかけてブラウンアウトを実施し、SHA-1を無効化します。このブラウンアウトはCDNには影響しません。
2026年9月15日:GitHubおよびパートナーCDNにおけるHTTPS/TLSのSHA-1が完全に無効化されます。
削除への準備
ブラウザについては、現代的で最新バージョンのブラウザを使用することで、SHA-1より新しいアルゴリズムをサポートしていることを確認できます。サポートされているアルゴリズムの詳細については、ブラウザのマニュアルをご参照ください。
https://github.dev にアクセスしてブラウザをテストできます。このサイトではすでにSHA-1が無効化されています。接続エラーなく正常に読み込める場合、お使いのブラウザは現代的なHTTPS設定をサポートしています。
同様に、APIについては、現代的なフレームワークまたはライブラリを使用してAPIに接続していることを確認してください。
最後に、Gitクライアントについては、最新のgitバージョンを使用していることを確認してください。GitにはHTTPSのサポートを追加する複数の異なるライブラリやバックエンドが対応しています。例えば、Linux上のGitはTLSバックエンド(Transport Layer Security backend)としてOpenSSLを使用する場合があります。最新のOSおよびコンポーネントを搭載した最新のgitバージョンを使用していることを確認してください。
記事「GitHubにおけるHTTPSのSHA-1廃止」は、The GitHub Blog に最初に掲載されました。
原文を表示
What’s changing
We’re going to remove the use of SHA-1 in HTTPS for GitHub and our CDNs. This impacts browsers that are used to view the GitHub website, any software that uses the GitHub API, and Git clients that push and pull over HTTPS. These changes will be made to github.com, including GitHub Enterprise Cloud and GitHub Enterprise Cloud with Data Residency. GitHub Enterprise Server will not be affected.
Deprecation schedule
We will conduct a brownout, where we temporarily disable SHA-1 to raise awareness around the deprecation. If you are impacted by the brownout, you will need to plan to add support for more modern TLS algorithms. Our planned schedule for SHA-1 deprecation and removal is as follows:
July 14th, 2026: Brownout. We will run a brownout from 00:00 to 18:00 UTC that will disable SHA-1. The brownout will not impact CDNs.
September 15th, 2026: SHA-1 in HTTPS / TLS will be completely disabled for GitHub and partner CDNs.
Preparing for removal
For browsers, using a modern and up-to-date browser will ensure your browser supports algorithms newer than SHA-1. Consult your browser’s documentation for more information about the algorithms it supports.
You can test your browser by visiting https://github.dev, where SHA-1 is already disabled. If you can successfully load that site without a connection issue, then your browser supports modern HTTPS configurations.
Similarly, for the API, ensure you are using a modern framework or library to connect to the API.
Finally, for the Git client, ensure you are using a recent version of git. Git supports multiple different libraries or backends that add support for HTTPS. For example, Git on Linux may use OpenSSL as a TLS backend. Ensure you are using a recent version of git with an up-to-date operating system and components.
The post Sunsetting SHA-1 in HTTPS on GitHub appeared first on The GitHub Blog.
関連記事
GitHub for Beginners:VS Code で Git と GitHub を始める方法
GitHub は、Microsoft が提供する無料のコードエディタ VS Code の機能を活用し、Git や GitHub の基本的な操作を学ぶためのチュートリアルシリーズを開始した。これにより開発者はコンテキストスイッチングを減らし効率的に作業できる。
米軍が GPS を利用し、20 年間にわたり暗号化ネットワークの「ナンバーステーション」として機能させていた可能性を示す証拠
情報セキュリティ研究者のスティーブン・マーチャード氏によると、米軍は約 20 年にわたり、公衆用の GPS 衛星を利用して暗号化ネットワークのコードを放送し、各衛星を隠れた「ナンバーステーション」として活用してきた可能性が高い。
BGP AS_PATH の最初の AS を強制する仕組みの導入
Cloudflare は、Spamhaus が報告したルート乗っ取り事案を踏まえ、不正なアクターが未使用の自律システム番号(ASN)を利用して偽の AS_PATH を作成しトラフィックを誤誘導する手口に対処するため、BGP の経路情報において最初の AS 番号の検証を強化する措置を発表した。