徹底棄用SHA-1，微軟5月9日將全面轉向SHA-2

近日，微軟通過 Windows IT Pro 部落格宣佈從 2021 年 5 月 9 日下午 4 點開始，該公司旗下的所有主要流程與服務（包括 TLS 證書 / 程式碼簽名 / 檔案雜湊），都將全面轉向僅使用 SHA-2 演算法，屆時該公司旗下所有基於 SHA-1 的 CA 根證書都將到期。

至於這麼做的原因，微軟在部落格文章中表示：

SHA-1 雜湊演算法已被證實存在缺陷，此外隨著處理器效能的提升、以及雲端計算的出現，其安全性已隨時間推移而逐漸降低。

從2011到2015，一直以SHA-1位主導演算法。但隨著網際網路技術的提升，SHA-1的缺點越來越突顯。

2014年，微軟和谷歌這兩大IT網際網路巨頭都宣佈將棄用SHA-1演算法。其中谷歌提醒使用者務必將即將於2015年12月31日後到期的SHA-1 SSL證書更換為SHA-2 (SHA-256)證書。

微軟則宣佈Windows將於2017年1月1日停止接受SHA-1 SSL證書。2019 年，微軟就已將 Windows 更新簽名改成僅使用更安全的 SHA-2 演算法，並於 2020 年 8 月 3日淘汰了官方下載中心的所有 SHA-1 簽名內容。

SHA-2如今已經成為了新的標準，現在簽發的SSL證書，都必須使用該演算法簽名。

如今微軟宣佈徹底棄用SHA-1，大家也無需擔心這項變化會波及過廣，因其僅影響連結到微軟 SHA-1 受信任根證書頒發機構（CA）的 SHA-1 證書。

手動安裝的企業或自簽名 SHA-1 證書依然能夠正常使用，但若您尚未遷移到 SHA-2，微軟還是給出了強烈的升級建議。

最後，微軟表示所有主要應用程式及服務都已經過廣泛的分析和測試，以保證它們不會受到 SHA-1 證書到期的影響。

公眾號ID：ikanxue

官方微博：看雪安全

商務合作：wsc@kanxue.com