>> SHA-1的安全性問題是什麼?
>> 瀏覽器對SHA-1憑證的更換何時生效?
>> DigiCert如何處理SHA-2需求?
>> 如果我有SHA-2憑證並遇到了問題該怎麼辦?
>> 如果我的網站由SHA-2 SSL憑證所保護,我的使用者會遇到問題嗎?
SHA-1的安全性問題是什麼?
沒有一種雜湊演算法是完全抗衝突的。雜湊函數的抗衝突強度取決於找到衝突的難度。當攻擊者能從指定雜湊函數中找到兩個相同的雜湊時,就會發生衝突。例如,在成功的衝突攻擊中,攻擊者會創建一個惡意CA憑證。因為Web瀏覽器信任此憑證,所以此憑證可用於冒充受HTTPS通訊協定保護的網站。
隨著技術的進步,雜湊函數的抗衝突能力最終會變得非常弱,以至於有必要改用更強的雜湊函數。2005年,一個來自中國的研究小組發現了SHA-1在抗衝突方面的脆弱性。自那時起,研究/加密社群的攻擊已有所改進,而且他們預測,在幾年內,為一次成功的衝突攻擊收集所需的計算能力的成本就將變得切實可行。
瀏覽器對SHA-1憑證的更換何時生效?
作為SHA-2遷移方案的一部分,Microsoft、Google和Mozilla已宣告將停止信任SHA-1憑證。
對SHA-1 SSL憑證的更換:
2016年,Microsoft、Google和Mozilla開始逐步停止對SHA-1憑證的信任。以下是這些事件的歷史時間表:
- 2014年11月——對於在2017年任何時候到期的SHA-1 SSL憑證,Chrome將顯示警告。
- 2014年12月——對於在2016年6月1日之後到期的SHA-1 SSL憑證,Chrome將顯示警告。
- 2015年1月——對於在2016年任何時候到期的SHA-1 SSL憑證,Chrome將顯示警告。
- 2015年12月——對於在2016年1月1日之後頒發的SHA-1 SSL憑證,Firefox將顯示"不受信任的連線"錯誤。
- 2016年1月——對於在2016年1月1日之後頒發的SHA-1 SSL憑證,Chrome將顯示憑證錯誤。
憑證標準:已使用基於SHA-1的簽章進行簽署,在2016年1月1日之後頒發,並連結到公用CA。 - 2017年1月1日——Microsoft、Google和Mozilla將不再信任所有SHA-1 SSL憑證。
Mozilla和Google表示,鑒於近期SHA-1遭到攻擊,將此日期提前至2016年7月1日是可行的。
Microsoft表示,鑒於近期SHA-1遭到攻擊,將此日期提前至2016年6月是可行的。
DigiCert如何處理SHA-2需求?
DigiCert一直在尋找為客戶提供SSL最佳體驗的方法。在Microsoft宣告這一訊息後,DigiCert不再頒發任何於2017年及其後到期的SHA-1憑證,並使SHA-2成為所有已購憑證的預設項。DigiCert強烈建議您儘快進行SHA-2部署,並為完全遷移至SHA-2做好準備。
如果我有SHA-2憑證並遇到了問題該怎麼辦?
請與您的瀏覽器或作業系統廠商聯絡,以獲取能支援SHA-2的更新。
如果我的網站由SHA-2 SSL憑證所保護,我的使用者會遇到問題嗎?
所有新式瀏覽器都支援SHA-2憑證。舊版瀏覽器的使用者往往容易受到許多安全問題的影響,包括SHA-2相容性。DigiCert鼓勵管理員與其使用者一起將版本較舊、安全性較低的系統更新到最新版本。
