近日,微軟通過 Windows IT Pro 部落格宣佈從 2021 年 5 月 9 日下午 4 點開始,該公司旗下的所有主要流程與服務(包括 TLS 證書 / 程式碼簽名 / 檔案雜湊),都將全面轉向僅使用 SHA-2 演算法,屆時該公司旗下所有基於 SHA-1 的 CA 根證書都將到期。
至於這麼做的原因,微軟在部落格文章中表示:
SHA-1 雜湊演算法已被證實存在缺陷,此外隨著處理器效能的提升、以及雲端計算的出現,其安全性已隨時間推移而逐漸降低。
從2011到2015,一直以SHA-1位主導演算法。但隨著網際網路技術的提升,SHA-1的缺點越來越突顯。
2014年,微軟和谷歌這兩大IT網際網路巨頭都宣佈將棄用SHA-1演算法。其中谷歌提醒使用者務必將即將於2015年12月31日後到期的SHA-1 SSL證書更換為SHA-2 (SHA-256)證書。
微軟則宣佈Windows將於2017年1月1日停止接受SHA-1 SSL證書。2019 年,微軟就已將 Windows 更新簽名改成僅使用更安全的 SHA-2 演算法,並於 2020 年 8 月 3日淘汰了官方下載中心的所有 SHA-1 簽名內容。
SHA-2如今已經成為了新的標準,現在簽發的SSL證書,都必須使用該演算法簽名。
如今微軟宣佈徹底棄用SHA-1,大家也無需擔心這項變化會波及過廣,因其僅影響連結到微軟 SHA-1 受信任根證書頒發機構(CA)的 SHA-1 證書。
手動安裝的企業或自簽名 SHA-1 證書依然能夠正常使用,但若您尚未遷移到 SHA-2,微軟還是給出了強烈的升級建議。
最後,微軟表示所有主要應用程式及服務都已經過廣泛的分析和測試,以保證它們不會受到 SHA-1 證書到期的影響。
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:wsc@kanxue.com