美国国家标准和技术研究所建议,在 2014 年 1 月之后,不要再信任 SHA1。但世界范围内已颁发的证书 98% 基于该标准,所以立即改变是不可能的。因此,微软规定,网站要在 2017 年 1 月 1 日之前用一个更安全的版本替换其 SSL 证书。
需要为代码签名的应用程序供应商也受到了影响。不过,他们要在 2016 年 1 月 1 日前取得新的代码签名证书。“微软会接受时间戳在 2016 年 1 月 1 日之前的 SHA1 代码签名证书,直到他们认为 SHA1 很容易受到原像(pre-image)攻击。”
微软会在 2015 年中段对这些策略进行复审。下面是可能影响微软时间表的两个主要因素:
安全社区是否还认为 SHA1 对原像攻击具有抵抗力,以及
生态系统中是否有无法切换到 SHA2 的重要部分。不能升级到 SHA2 的第三方遗留系统和嵌入式设备可能尤其容易受到攻击。我们将继续针对生态系统的这个部分收集数据。
根据当前所写内容,SHA1 弃用策略将适用于 Windows Vista、Windows Server 2008 及其后的操作系统。为了使用 SHA2,那些仍然运行着 Windows XP 的机器至少需要升级到 Service Pack 3。Windows Server 2003 Service Pack 2 也支持 SHA2。
查看英文原文:**** Microsoft to Stop Honoring SHA1 Certificates for SSL and Code Signing
暂无签名
分布式云行业实践指南(2023)
业内首个分布式云行业实践方法论、工具箱。
WebNN,Web 端侧推理的未来
基于开源真正获客,Greptime的商业开源求索之路
MoonBit 月兔:大语言模型时代的软件开发起点
评论