概要
GitHubは2026年4月20日、HTTPS接続における SHA-1ハッシュアルゴリズムの使用を段階的に廃止すると発表した。対象はgithub.com、GitHub Enterprise Cloud、データレジデンシー対応版で、ブラウザ、GitHub API、Git over HTTPSのすべてに影響する。なお、GitHub Enterprise Serverは今回の廃止対象には含まれない。
SHA-1は数十年前から使われてきたハッシュアルゴリズムだが、2017年にGoogleが実用的な衝突攻撃(SHAttered攻撃)を実証したことで安全性に重大な懸念が生じた。業界全体でSHA-2(SHA-256など)への移行が進んでおり、今回のGitHubの決定もその流れに沿ったものだ。
廃止スケジュールと影響範囲
廃止は2段階で進められる。まず2026年7月14日(UTC 00:00〜18:00)にブラウンアウトテストとしてSHA-1を一時的に無効化し、互換性の問題を事前に洗い出す機会を提供する。その後、2026年9月15日にGitHubおよびパートナーCDNにおいてSHA-1が完全に無効化される予定だ。
影響を受けるユーザーの種類と対応策は以下の通りとなっている。
- ブラウザ利用者: 最新の主要ブラウザであれば既にSHA-2に対応しているため、ブラウザを最新バージョンに保つことで対応可能。
https://github.devにアクセスして互換性を事前確認できる - APIを利用するソフトウェア・開発者: SHA-2対応の新しいフレームワークやライブラリへの移行が必要
- Gitクライアント利用者: 最新版のGitと、OpenSSLなどのOSコンポーネントを最新に更新することが推奨される
今後の対応と注意点
7月のブラウンアウトは、9月の完全廃止前に自社システムやツールチェーンへの影響を確認するための重要な機会となる。特に古いCI/CD環境やレガシーなGitクライアントを使用している組織は、早めの検証と移行計画の策定が求められる。現代的なブラウザや最新のGitバージョンを使用している一般的な開発者への影響は限定的とみられるが、自動化スクリプトや独自ビルドのツールを利用している場合は注意が必要だ。