为什么要迁移至SHA-2 TLS/SSL证书?
作为您的安全合作伙伴,DigiCert已使SHA-256成为所有已颁发TLS/SSL证书的默认项,并强烈建议所有客户将其SHA-1证书更新为SHA-2。这是因为至少自2006年起,人们就认为SHA-1不安全。事实上,NIST已于2011年停用SHA-1,并于2013年禁止将其用于数字签名。密码学家敦促管理员替换其SHA-1证书,因为与SHA-1相关的风险比之前预期的还要大。
如何快速查找并替换SHA-1证书?
DigiCert CertCentral®基于云的发现工具可帮助您快速查找SHA-1 TLS/SSL证书,并将其替换为免费的DigiCert SHA-2证书。我们的发现工具即使在最复杂的分布式网络中也可以扫描证书。我们还提供多种扫描选项,以发现并监测所有证书,包括专用和公用证书,而无论证书由哪家证书颁发机构(CA)所颁发。
TLS/SSH(安全外壳密钥)发现有两个组件,可以帮助您彻底扫描网络中的TLS证书和SSH密钥:
- 云扫描——在面向公众的服务器中查找TLS证书的一种快速而简单的选项。此选项不需要安装,可以立即从CertCentral UI启动。
- 网络扫描可发现复杂的分布式网络中的所有公用和专用TLS证书。彻底扫描您的环境以生成报告,并全面了解所有TLS证书和SSH密钥。
我应该在何时切换至SHA-2?
谷歌、Mozilla和微软已逐步停止对SHA-1 SSL证书的信任。过去,Chrome也会对使用SHA-1证书的网站显示SHA-1警告。尚未将SHA-1证书替换为SHA-2证书的管理员应该立即开始进行切换。
2014年8月,谷歌采取了更激进的立场,表示由于SHA-1不够安全,因此自2014年11月起,Chrome将对由SHA-1证书所保护的网站显示警告。谷歌的意图是助力于加速淘汰SHA-1证书,并使这一过渡比MD5更顺利。
2015年10月,一个国际密码分析师团队发布了一项研究,敦促管理员尽快替换其SHA-1证书,因为与SHA-1相关的风险比之前预期的还要大。已发布的研究结果是理论性的,尚未在实际环境中得到证实。虽然似乎不会立即出现危险,但我们强烈建议管理员尽快迁移至SHA-2。
管理员应考虑此更新可能产生的影响,并为以下事项制定计划:
- 与SHA-2兼容的硬件
- 支持SHA-2的服务器软件更新
- 客户端软件对SHA-2的支持
- 自定义应用程序对SHA-2的支持
浏览器和CA此前曾鼓励在2017年前迁移至SHA-2,但目前的研究应鼓励组织加速其升级计划,尽快升级其现有基础设施以支持SHA-2。如需了解有关SHA-2时间表的更多信息,请访问我们的SHA-2常见问题与解答。
