SHA-256的转换

摘要:

SHA-2由NIST(国家标准与技术研究所)开发的一系列加密哈希算法组成,以取代可能存在数学缺陷的老化SHA-1哈希算法。

作为您的安全合作伙伴,GlobalSign支持弃用SHA-1和转换到SHA-256,这是SHA-2哈希算法中最广泛支持的算法。我们将与所有客户密切合作,确保无缝过渡。该过程的第一步是于2014年3月31日提供GlobalSign SHA-256 SSL证书。

本文定义了引入SHA-256 SSL证书和SHA-1 SSL证书过渡的转折点。

SHA-1结束的重要日期:

2016年1月1日 Microsoft将不再信任使用SHA-1的代码签名证书
2017年1月1日 Microsoft将停止信任使用SHA-1的SSL证书
2015年7月 微软将重新考虑上述日期,如果认为合适,可能会加速

虽然CA/浏览器论坛尚未在其基线要求中指定SHA-256,但微软正在推动行业到2017年1月,届时他们将不再信任所有基于公共根颁发的SHA-1证书。GlobalSign正在跟踪CA和浏览器行业以及安全表单中的状态,并将使我们的客户随时了解任何转换过渡期内的变化或SHA-1的可信进展。

GlobalSign客户可以了解以下事件日期:

2014年3月31 GlobalSign在SSL订购过程中启用并推荐SHA-256。
2014年3月31 GlobalSign客户可以在证书有效期内的任何时间免费使用SHA-256重新颁发现有的SHA-1证书。
2014年3月31 选择使用SHA-1的新证书申请的最大证书有效期为3年。GlobalSign将与微软和其他供应商一起监控SHA-1风险和弃用情况,并可能在随后几年缩短有效期。
2016年1月 GlobalSign将禁用所有SHA-1发行选项(根据更新的Microsoft指南进行更改)

已知的兼容性

大多数应用程序、服务器和浏览器现在都支持SHA-256,但一些较旧的操作系统,如Service Pack 3之前的Windows XP,以及一些移动设备不支持。在SHA-1算法被Microsoft正式弃用之前,重要的是要确保您的组织和依赖您的基础架构的组织通过安装最新版本的应用程序或浏览器并将所有已知的安全更新应用于您的操作系统,从而从SHA-256支持中受益。

有关更多信息,请参阅我们的SHA-2兼容性摘要

进一步信息:

CA安全理事会:

https://casecurity.org/2014/01/30/why-we-need-to-move-to-sha-2/
https://casecurity.org/2013/12/16/sha-1-deprecation-on-to-sha-2/

Windows中的SHA-256支持:

http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows

Microsoft根嵌入程序要求:

http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements-version-2-0