明确了:微软确认Windows等系统下月升级转向SHA-2算法

微软宣布,从2021年5月9日起,该公司旗下的所有主要流程与服务(包括TLS证书/代码签名证书/文件哈希),都将全面转向仅使用SHA-2算法。

近日,微软已经确认将使用SHA-2淘汰SHA-1算法。

微软宣布,从2021年5月9日起,该公司旗下的所有主要流程与服务(包括TLS证书/代码签名证书/文件哈希),都将全面转向仅使用SHA-2算法。

file

据悉,作为向更安全的SHA-2算法迈出的重要一步,微软将完全淘汰初代“安全散列算法”,届时该公司旗下所有基于SHA-1的CA根证书都将到期。

从太平洋时间2021年5月9日16点开始,所有微软流程与服务都将只使用SHA-2算法。SHA-1散列算法已被证实存在缺陷,此外随着处理器性能的提升、以及云计算的出现,其安全性已随时间推移而逐渐降低。

大家也无需担心这项变化会波及过广,因其仅影响链接到微软SHA-1受信任根证书颁发机构(CA)的SHA-1根证书。

手动安装的企业或自签名SHA-1证书依然能够正常使用,但若您尚未迁移到SHA-2,微软还是给出了强烈的升级建议。

最后,微软表示所有主要应用程序及服务都已经过广泛的分析和测试,以保证它们不会受到SHA-1证书到期的影响。

什么是SHA-2

SHA-1和SHA-2是该算法不同的两个版本,它们的构造和签名的长度都有所不一样,但可以把SHA-2理解为SHA-1的继承者。

首先,人们一般把哈希值位数长度作为重要的区别,SHA-1是160位的哈希值,而SHA-2是组合值,有不同的位数,其中最受欢迎的是256位。

因为SHA-2有多种不同的位数,导致这个名词有一些混乱。但是无论是“SHA-2”,“SHA-256”或“SHA-256位”,其实都是指同一种加密算法。但是SHA-224”,“SHA-384”或“SHA-512”,表示SHA-2的二进制长度。还要另一种就是会把算法和二进制长度都写上,如“SHA-2 384”。

SSL行业选择SHA作为数字签名的散列算法,从2011到2015,一直以SHA-1位主导算法。但随着互联网技术的提升,SHA-1的缺点越来越突显。目前SHA-2成为了新的标准,所以现在签发的SSL证书,必须使用该算法签名。

也许有人偶尔会看到SHA-2 384位的证书,很少会看到224位,因为224位不允许用于公共信任的证书,512位,不被软件支持。

SHA-1和SHA-2签名对比

qiaokr.com
SHA-1 d116b417502f5db599df67e5fb89c0843c3793b0
SHA1-256 bc3da600b0a6367685df22a0c2ea3ae0ea5b371247af8ab3073fbcc82daf9f92

保持安全的签名

随着时间的推移,对加密技术的攻击将会越来越强,其安全成本也有所降低。这使得有效的SHA-2签名将会越来越不安全。可见,安全算法防护要比实际要强,而短期的改善并不是一个长期的方案。对于特定的哈希算法来说,保持十年的安全性是不切实际。

虽然目前的SSL证书是可靠安全的数字签名。但全球的网络安全专家仍不断分析研究SHA-2和其他加密算法,日后将会推出更安全的算法。其中SHA-2的继承者已敲定为SHA-3,这两种可能是完全不同的算法,但不会影响SHA-3成为SSL行业的加密算法的选择。

如何签发SHA-2算法的SSL数字证书

官方办理电话:029-88188289

官方QQ:800183788

上门办理地址:陕西省西安市雁塔区锦业路中铁·西安中心

乔客安全咨询保留著作权,发布者:Dream Nick,转载请注明出处:https://www.qiaokr.com/article/2875