摘要:
SHA-2由NIST(国家标准与技术研究所)开发的一系列加密哈希算法组成,以取代可能存在数学缺陷的老化SHA-1哈希算法。
作为您的安全合作伙伴,GlobalSign支持弃用SHA-1和转换到SHA-256,这是SHA-2哈希算法中最广泛支持的算法。我们将与所有客户密切合作,确保无缝过渡。该过程的第一步是于2014年3月31日提供GlobalSign SHA-256 SSL证书。
本文定义了引入SHA-256 SSL证书和SHA-1 SSL证书过渡的转折点。
SHA-1结束的重要日期:
| 2016年1月1日 | Microsoft将不再信任使用SHA-1的代码签名证书 |
|---|---|
| 2017年1月1日 | Microsoft将停止信任使用SHA-1的SSL证书 |
| 2015年7月 | 微软将重新考虑上述日期,如果认为合适,可能会加速 |
虽然CA/浏览器论坛尚未在其基线要求中指定SHA-256,但微软正在推动行业到2017年1月,届时他们将不再信任所有基于公共根颁发的SHA-1证书。GlobalSign正在跟踪CA和浏览器行业以及安全表单中的状态,并将使我们的客户随时了解任何转换过渡期内的变化或SHA-1的可信进展。
GlobalSign客户可以了解以下事件日期:
| 2014年3月31 | GlobalSign在SSL订购过程中启用并推荐SHA-256。 |
|---|---|
| 2014年3月31 | GlobalSign客户可以在证书有效期内的任何时间免费使用SHA-256重新颁发现有的SHA-1证书。 |
| 2014年3月31 | 选择使用SHA-1的新证书申请的最大证书有效期为3年。GlobalSign将与微软和其他供应商一起监控SHA-1风险和弃用情况,并可能在随后几年缩短有效期。 |
| 2016年1月 | GlobalSign将禁用所有SHA-1发行选项(根据更新的Microsoft指南进行更改) |
已知的兼容性
大多数应用程序、服务器和浏览器现在都支持SHA-256,但一些较旧的操作系统,如Service Pack 3之前的Windows XP,以及一些移动设备不支持。在SHA-1算法被Microsoft正式弃用之前,重要的是要确保您的组织和依赖您的基础架构的组织通过安装最新版本的应用程序或浏览器并将所有已知的安全更新应用于您的操作系统,从而从SHA-256支持中受益。
有关更多信息,请参阅我们的SHA-2兼容性摘要
进一步信息:
CA安全理事会:
https://casecurity.org/2014/01/30/why-we-need-to-move-to-sha-2/
https://casecurity.org/2013/12/16/sha-1-deprecation-on-to-sha-2/
Windows中的SHA-256支持:
http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx
Microsoft根嵌入程序要求: