GlobalSign 新闻中心

02 2016

Microsoft,Google 和 Mozilla 将在 2017 年 1 月 1 日后停止信任 SHA-1 SSL 证书


继去年宣布了 SHA1 弃用计划之后,近期 GoogleMicrosoft Mozilla 给出了从各自的旗舰浏览器产品中移除 SHA-1 认证支持的详细时间表。

 

 

 

 

● 各浏览器更新时间

 

Chrome

即将在 2017 1 月底发布到稳定通道的 Chrome 56 将不再信任任何来自公共认证机构的 SHA-1 认证,对现有的 SHA-1 认证会给出警告。但是对于那些在企业内部使用的私有 PKIChrome 将会继续提供 SHA-1 支持,因为这些 PKI 使用 EnableSha1ForLocalAnchors 策略,依赖底层的操作系统提供 SHA-1 支持。

 

 

Chrome 41 的网站示例

 

Firefox

Firefox 将在 Firefox 51 中停止信任 SHA-1 签名认证。当前 Firefox 51 正处于开发版本阶段,计划于 2017 1 月发布。为评估移除 SHA-1 签名认证对真实使用情况的影响,Mozilla 2016 11 月初着手在部分 beta 用户中开展移除 SHA-1 beta 测试。Firefox 默认使用手动安装的认证。

 

Edge

Mircosoft Edge Internet Explorer 11 浏览器将于 2017 2 14 日停止加载使用 SHA-1 认证的网站,同时让用户决定是否忽视无效认证的警告并依然继续访问该网站。同样,手动安装的或自签名的 SHA-1 认证将不会受到影响。

 

Safari

Safari 的提供商 Apple 也开始逐步停止使用 SHA-1 3DES 这类被认为是不安全的算法。在最新版本的 macOS 中已经可以看到,对于 SHA-1 签名认证的网站,Safari 浏览器将不再显示那个原有的绿色挂锁标志。在 Sierra 的发行说明中也建议应尽快停止使用 SHA-1,但是并未给出更多的细节。

 

虽然移除 SHA-1 支持早已进入倒计时阶段,但研究人员发现,在一千一百万个可访问的网站中,仍有 35% 的网站在使用 SHA-1 认证。

 

● 让您的网站做好准备

 

您可以利用 GlobalSign SSL 配置检查工具来识别 SHA-1 证书:

 

访问 https://globalsign.ssllabs.com 并输入您的域名。

签名和有效期都在“证书详细信息”下面。如果签名列出的是 SHA-1 并且您的证书是 2017 1 1日之后到期,您应该尽快补发证书。

 

 

 

对于网站的运营人员而言,建议尽快更换 SHA-2 证书。GlobalSign 会帮助所有客户和合作伙伴完成这次迁移。如有疑问,请与我们联系以获取更多的建议!

 

 

关于 GMO GlobalSign

 

GlobalSign  是最早成立的认证机构之一,是提供网络安全解决方案的引领者,自  1996  年以来一直是值得信赖的服务供应商。 GlobalSign  一直关注并将继续关注为不同规模的组织机构提供方便并高效的  PKI  解决方案。

 

GlobalSign  的核心数字证书解决方案使得上千授权用户得以进行  SSL  安全交易、数据传输、防篡改代码的发送、以及为加密邮件和准入许可实施网络安全身份验证保护。对创新的展望和努力使得  GlobalSign  被  Frost & Sullivan  授予  2011  最佳产品线策略奖。GlobalSign  在美国、欧洲和亚洲均设有办事处。欲了解  GlobalSign  最新消息,请登录  cn.globalsign.com  或关注微博:新浪微博 (@globalsign),微信公众号:GlobalSign


返回 GlobalSign 新闻中心