SHA1算法升级SHA256更新计划

• 微软SHA1升级计划

• 
  

         2013年11月份的微软根证书成员计划策略更新显示，第三方认证机构自2016年1月1日起，将全面中止签发SHA1算法的数字证书。

         自2017年1月1日起，微软将全面中止对SHA1算法的SSL证书的支持。届时在最新版本的Windows系统中，SHA1算法的SSL证书将不被信任。

         自2016年1月1日起，使用SHA1算法的代码签名证书添加时间戳签名的程序在新版Windows系统中将不被信任。在此以前使用时间戳签名的全部程序不受此更新影响。

         微软根证书成员计划再也不接受使用SHA1算法及RSA2048位密钥的新成员。

Microsoft安全公告2880823：

https://technet.microsoft.com/en-us/library/security/2880823.aspx

Microsoft 根证书成员计划要求：

http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements-version-2-0.aspx

 

• Google SHA1升级计划

 

       Google官方博客宣布，将在Chrome浏览器中逐渐下降SHA-1证书的安全指示。

       若是您正在使用Chrome浏览器，你将会注意到随着时间的推动，Chrome浏览器对大量的https网站的警告会不断发生变化。

 

       Chrome39(2014年9月份发布)

       部分使用SHA-1算法的SSL证书，且证书有效期超过2017年1月1号的站点会被给予***警告：“安全的，但存在漏洞”的变化。

       

 

       Chrome40（预计2014年圣诞节后发布）

        部分使用SHA-1算法的SSL证书且证书有效期在2016年1月1号至2016年12月31号之间的站点会被给予：“中性，缺少安全性”的变化。

        

 

        Chrome41（预计2015年第一季度发布）

        部分使用SHA-1算法的SSL证书且证书有效期在2016年1月1号至2016年12月31号之间的站点会被给予：“安全的，但存在漏洞”的变化。

        

       部分使用SHA-1算法的SSL证书，且证书有效期超过2017年1月1号的站点会被给予红色警告：“不安全的”的变化。

        

       Google官方博文请参考：

       http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1.html

 

• Symantec SHA1升级计划

• 
  

        根据WebTrust 、CA/B成员计划及 Microsoft根证书成员计划的要求，Symantec已全面中止签发有效期超过2017年1月1日的SHA1算法服务器证书及代码签名证书。

        自2014年1月1日起至2016年1月1日，申请有效期超过2017年1月1日的数字证书将只容许使用SHA256算法。

        全部已签发且有效期超过2016年1月1日的SHA1算法证书，务必在2016年1月1日前完成证书SHA1算法升级SHA256的操做，提高证书算法的安全性，并避免因证书算法致使的客户端报错。

        Symantec全部已签发的SHA1证书，在2016年1月1日前，可提供免费的升级更新服务，为证书用户提供SHA1算法到SHA256算法的升级服务。