请稍候...
  • 通配符证书Wildcard SSL,部署全网HTTPS必备
  • 为什么使用企业型SSL证书?
  • 增强型证书EV SSL,完美支持地址栏显示中文企业名称
  • HTTPS今天你用了吗?
  • 多域名SANS/UCC SSL证书,全面支持Exchange Server 2..
  • 选择SSL证书产品遇到问题?

CHINASSL自2016年1月1日起全面停止签发SHA-1证书

点击数:346792016-01-01 00:00:00 来源: 中国数字证书CHINASSL

CHINASSL停止签发SHA-1证书

 

CHINASSL停止签发SHA-1证书

自2016年1月1日起,CHINASSL全面停止签发SHA-1算法证书,2016年1月1日之后所有新签、重签、续费SSL证书全部使用SHA-2(SHA256)签名算法签发证书。

 

SHA-1算法简介

SHA-1在许多安全协议中广泛使用,包括TLS和SSL、PGP、SSH、S/MIME和IPsec。在2005年,密码学家就证明SHA-1的破解速度比预期提高了2000倍,虽然破解仍然是极其困难和昂贵的,但随着计算机变得越来越快和越来越廉价,SHA-1算法的安全性也逐年降低,已被密码学家严重质疑,希望由安全强度更高的SHA-2替代它。

 

各浏览器的停止SHA-1计划

微软第一个宣布了SHA-1弃用计划,对于SSL证书和代码签名证书,微软设定了不同的替换时间表:
1、所有Windows受信任的根证书颁发机构(CA)从2016年1月1日起必须停止签发新的SHA-1签名算法SSL证书和代码签名证书;
2、对于SSL证书,Windows将于2017年1月1日起停止支持SHA1证书。也就是说:任何在之前签发的SHA-1证书必须替换成SHA-2证书;
3、对于代码签名证书,Windows将于2016年1月1日停止接受没有时间戳的SHA-1签名的代码和SHA-1证书。也就是说,Windows仍然接受在2016年1月1日之前使用SAH-1签名的已经加上RFC3161时间戳的代码,直到微软认为有可能出现SHA-1攻击时。
Google官方博客宣布,将在Chrome浏览器中逐渐降低SHA-1证书的安全指示,逐步停止对使用SHA-1散列算法证书的支持。近日,Chrome 39新版本 PC 端发布,在部分操作系统下,该版本浏览器中已开始出现“该网站使用的安全设置已过期” 提示,在接下来的6个月内会变得越来越严格。最终,使用了有效期至2016年的SHA-1证书的站点可能会被给予黄色警告。
Mozilla也做了同样的决定,在其对外公布近期更新计划中表示:“现在依然有不少网站使用基于 SHA-1签名的 SSL证书,所以我们决定加入微软和谷歌的阵营,认为应在 2016 年 1 月 1 日前停止发放 SHA-1 证书,在 2017 年 1 月1 日后不再信任此证书。”

 

Windows XP 用户建议

微软已停止Windows XP系统服务支持,但我国仍有大量用户使用XP系统,其中还有超过300万Windows XP SP2用户仍然不支持SHA-2签名算法,CHINASSL建议升级到Windows XP SP3或者升级到最新版本Windows 操作系统。否则您可能无法正常访问使用SSL证书加密通信的网站。

Windows XP SHA-256证书支持补丁程序:点击这里

 

 

中国数字证书CHINASSL
2016年1月1日

上一页1下一页