微软将停止接受用于 SSL 和代码签名的 SHA1 证书

阅读数:1916 2013 年 11 月 21 日

话题:安全DevOps

美国国家标准和技术研究所建议,在 2014 年 1 月之后,不要再信任 SHA1。但世界范围内已颁发的证书 98% 基于该标准,所以立即改变是不可能的。因此,微软规定,网站要在 2017 年 1 月 1 日之前用一个更安全的版本替换其 SSL 证书。

需要为代码签名的应用程序供应商也受到了影响。不过,他们要在 2016 年 1 月 1 日前取得新的代码签名证书。“微软会接受时间戳在 2016 年 1 月 1 日之前的 SHA1 代码签名证书,直到他们认为 SHA1 很容易受到原像(pre-image)攻击。”

微软会在 2015 年中段对这些策略进行复审。下面是可能影响微软时间表的两个主要因素:

安全社区是否还认为 SHA1 对原像攻击具有抵抗力,以及

生态系统中是否有无法切换到 SHA2 的重要部分。不能升级到 SHA2 的第三方遗留系统和嵌入式设备可能尤其容易受到攻击。我们将继续针对生态系统的这个部分收集数据。

根据当前所写内容,SHA1 弃用策略将适用于 Windows Vista、Windows Server 2008 及其后的操作系统。为了使用 SHA2,那些仍然运行着 Windows XP 的机器至少需要升级到 Service Pack 3。Windows Server 2003 Service Pack 2 也支持 SHA2。

查看英文原文:Microsoft to Stop Honoring SHA1 Certificates for SSL and Code Signing