為什麼要遷移至SHA-2 TLS/SSL憑證?
作為您的安全合作夥伴,DigiCert已使SHA-256成為所有已頒發TLS/SSL憑證的預設項,並強烈建議所有客戶將其SHA-1憑證更新為SHA-2。這是因為至少自2006年起,人們就認為SHA-1不安全。事實上,NIST已於2011年淘汰SHA-1,並於2013年禁止將其用於數位簽章。密碼學家敦促管理員替換其SHA-1憑證,因為與SHA-1相關的風險比之前預期的還要大。
如何快速尋找並替換SHA-1憑證?
DigiCert CertCentral®基於雲端的發現工具可幫助您快速尋找SHA-1 TLS/SSL憑證,並將其替換為免費的DigiCert SHA-2憑證。我們的發現工具即使在最複雜的分散式網路中也可以掃描憑證。我們還提供多種掃描選項,以發現並監測所有憑證,包括私人和公開憑證,而無論憑證由哪家憑證授權中心(CA)所頒發。
TLS/SSH(安全殼層金鑰)發現有兩個元件,可以幫助您徹底掃描網路中的TLS憑證和SSH金鑰:
- 雲端掃描——在面向公眾的伺服器中尋找TLS憑證的一種快速而簡單的選項。此選項不需要安裝,可以立即從CertCentral UI啟動。
- 網路掃描可發現複雜的分散式網路中的所有公開和私人TLS憑證。徹底掃描您的環境以產生報告,並全面瞭解所有TLS憑證和SSH金鑰。
我應該在何時切換至SHA-2?
Google、Mozilla和Microsoft已逐步停止對SHA-1 SSL憑證的信任。過去,Chrome也會對使用SHA-1憑證的網站顯示SHA-1警告。尚未將SHA-1憑證替換為SHA-2憑證的管理員應該立即開始進行切換。
2014年8月,Google採取了更激進的立場,表示由於SHA-1不夠安全,因此自2014年11月起,Chrome將對由SHA-1憑證所保護的網站顯示警告。Google的意圖是助力於加速淘汰SHA-1憑證,並使這一過渡比MD5更順利。
2015年10月,一個國際密碼分析師團隊發佈了一項研究,敦促管理員儘快替換其SHA-1憑證,因為與SHA-1相關的風險比之前預期的還要大。已發佈的研究結果是理論性的,尚未在實際環境中得到證實。雖然似乎不會立即出現危險,但我們強烈建議管理員儘快遷移至SHA-2。
管理員應考慮此更新可能產生的影響,並為以下事項制定方案:
- 與SHA-2相容的硬體
- 支援SHA-2的伺服器軟體更新
- 用户端軟體對SHA-2的支援
- 自訂應用程式對SHA-2的支援
瀏覽器和CA此前曾鼓勵在2017年前遷移至SHA-2,但目前的研究應鼓勵組織加速其升級方案,儘快升級其現有基礎結構以支援SHA-2。如需瞭解有關SHA-2時間表的更多訊息,請造訪我們的SHA-2常見問題集。
