标签： Symantec

微软SHA1升级计划
2013年11月份的微软根证书成员计划策略更新显示，第三方认证机构自2016年1月1日起，将全面停止签发SHA1算法的SSL数字证书。

自2017年1月1日起，微软将全面停止对SHA1算法的SSL证书的支持。届时在最新版本的Windows系统中，SHA1算法的SSL证书将不被信任。

自2016年1月1日起，使用SHA1算法的代码签名证书添加时间戳签名的程序在新版Windows系统中将不被信任。在此之前使用时间戳签名的所有程序不受此更新影响。

微软根证书成员计划不再接受使用SHA1算法及RSA2048位密钥的新成员。

Microsoft安全公告2880823：

https://technet.microsoft.com/en-us/library/security/2880823.aspx

Microsoft 根证书成员计划要求：

http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements-version-2-0.aspx

 

Google SHA1升级计划
Google官方博客宣布，将在Chrome浏览器中逐渐降低SHA-1证书的安全指示。

如果您正在使用Chrome浏览器，你将会注意到随着时间的推进，Chrome浏览器对大量的https网站的警告会不断发生变化。

 

Chrome39(2014年9月份发布)

部分使用SHA-1算法的SSL证书，且证书有效期超过2017年1月1号的站点会被给予黄色警告：“安全的，但存在漏洞”的变化。

Chrome40（预计2014年圣诞节后发布）

部分使用SHA-1算法的SSL证书且证书有效期在2016年1月1号至2016年12月31号之间的站点会被给予：“中性，缺乏安全性”的变化。

Chrome41（预计2015年第一季度发布）

部分使用SHA-1算法的SSL证书且证书有效期在2016年1月1号至2016年12月31号之间的站点会被给予：“安全的，但存在漏洞”的变化。

部分使用SHA-1算法的SSL证书，且证书有效期超过2017年1月1号的站点会被给予红色警告：“不安全的”的变化。

Google官方博文请参考：

http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1.html

 

Symantec SHA1升级计划
根据WebTrust 、CA/B成员计划及 Microsoft根证书成员计划的要求，Symantec已全面停止签发有效期超过2017年1月1日的SHA1算法服务器证书及代码签名证书。

自2014年1月1日起至2016年1月1日，申请有效期超过2017年1月1日的数字证书将只允许使用SHA256算法。

所有已签发且有效期超过2016年1月1日的SHA1算法证书，务必在2016年1月1日前完成证书SHA1算法升级SHA256的操作，提升证书算法的安全性，并避免因证书算法导致的客户端报错。

Symantec所有已签发的SHA1证书，在2016年1月1日前，可提供免费的升级更新服务，为证书用户提供SHA1算法到SHA256算法的升级服务。

自2014年起，证书颁发机构推荐在新注册申请SSL证书时使用 SHA256算法。证书有效截止时间超过2017年1月1日的，将只允许使用SHA256算法签发。现有证书已使用SHA1算法签发的，可提供免费的证书算法升级重签服务，将证书更新到SHA256算法。

 

SHA256算法在不同WEB Server、客户端浏览器及操作系统环境中，存在一定兼容性问题。以下是对SHA256算法兼容性相关的统计信息。如若您使用的 Web Server程序、客户端浏览器软件或操作系统无法达到SHA256算法的最低要求，建议您升级您的程序或系统版本，以确保更安全的使用我们的证书产品。

 

操作系统及环境要求：

 

Android 2.3+

Apple iOS 3.0+

Apple OS X 10.5+

Blackberry 5.0+

ChromeOS All

Windows Outlook 2003 SP3+（Vista及以上系统）

Windows Phone 7+

Windows XP SP3+

OpenSSL 0.9.8o+

Java 1.4.2+

 

浏览器要求：

 

Adobe Acrobat/Reader 7

Chrome 26+

Chrome for Linux

Chrome for Mac OS X 10.5+

Firefox 1.5+

Internet Explorer 6+ (Windows XP SP3及以上)

Mozilla 1.4+ (NSS 3.8+)

Netscape 7.1+

Opera 9.0+

Safari for 3+ Mac OS X 10.5+

 

Web Server版本要求：

 

Apache 2.0.63+ With OpenSSL 0.9.8o+

Windows Server 2003+ with patch 938397 (或SP3+)

Windows XP/Server2003 with patch 968730 (或SP3+)

Windows Server 2008+

基于Java的server，Java 1.4.2+

Oracle WebLogic v10.3.1+

Oracle Wallet Manager 11.2.0.1+

IBM HTTP Server 8.5

Lotus Domino  9+

Websphere application Server v8.0.0.4+

Juniper Secure Access –  SA 6.4R5, 6.5R3或 7.0R1+

 

本文译自Symantec证书 SSL支持站点