>> SHA-1的安全性问题是什么?
>> 浏览器对SHA-1证书的更换何时生效?
>> DigiCert如何处理SHA-2要求?
>> 如果我有SHA-2证书并遇到了问题该怎么办?
>> 如果我的网站由SHA-2 SSL证书所保护,我的用户会遇到问题吗?
SHA-1的安全性问题是什么?
没有一种哈希算法是完全抗冲突的。哈希函数的抗冲突强度取决于找到冲突的难度。当攻击者能从给定哈希函数中找到两个相同的哈希时,就会发生冲突。例如,在成功的冲突攻击中,攻击者会创建一个恶意CA证书。因为Web浏览器信任此证书,所以此证书可用于冒充受HTTPS协议保护的网站。
随着技术的进步,哈希函数的抗冲突能力最终会变得非常弱,以至于有必要改用更强的哈希函数。2005年,一个来自中国的研究小组发现了SHA-1在抗冲突方面的脆弱性。自那时起,研究/加密社区的攻击已有所改进,而且他们预测,在几年内,为一次成功的冲突攻击收集所需的计算能力的成本就将变得切实可行。
浏览器对SHA-1证书的更换何时生效?
作为SHA-2迁移计划的一部分,微软、谷歌和Mozilla已宣布将停止信任SHA-1证书。
对SHA-1 SSL证书的更换:
2016年,微软、谷歌和Mozilla开始逐步停止对SHA-1证书的信任。以下是这些事件的历史时间表:
- 2014年11月——对于在2017年任何时候到期的SHA-1 SSL证书,Chrome将显示警告。
- 2014年12月——对于在2016年6月1日之后到期的SHA-1 SSL证书,Chrome将显示警告。
- 2015年1月——对于在2016年任何时候到期的SHA-1 SSL证书,Chrome将显示警告。
- 2015年12月——对于在2016年1月1日之后颁发的SHA-1 SSL证书,Firefox将显示"不受信任的连接"错误。
- 2016年1月——对于在2016年1月1日之后颁发的SHA-1 SSL证书,Chrome将显示证书错误。
证书标准:已使用基于SHA-1的签名进行签署,在2016年1月1日之后颁发,并链接到公共CA。 - 2017年1月1日——微软、谷歌和Mozilla将不再信任所有SHA-1 SSL证书。
Mozilla和谷歌表示,鉴于近期SHA-1遭到攻击,将此日期提前至2016年7月1日是可行的。
微软表示,鉴于近期SHA-1遭到攻击,将此日期提前至2016年6月是可行的。
DigiCert如何处理SHA-2要求?
DigiCert一直在寻找为客户提供SSL最佳体验的方法。在微软宣布这一消息后,DigiCert不再颁发任何于2017年及其后到期的SHA-1证书,并使SHA-2成为所有已购证书的默认项。DigiCert强烈建议您尽快进行SHA-2部署,并为完全迁移至SHA-2做好准备。
如果我有SHA-2证书并遇到了问题该怎么办?
请与您的浏览器或操作系统厂商联系,以获取能支持SHA-2的更新。
如果我的网站由SHA-2 SSL证书所保护,我的用户会遇到问题吗?
所有新式浏览器都支持SHA-2证书。旧版浏览器的用户往往容易受到许多安全问题的影响,包括SHA-2兼容性。DigiCert鼓励管理员与其用户共同协作,将版本较旧、安全性较低的系统更新到最新版本。
