分類: 趨勢專家談趨勢

作者：Chris Bailey（趨勢科技SSL總經理）

 

SHA-1憑證更換成SHA-2憑證的期限可能會提早到2016年6月1日，而非原先的2016年12月31日。

在2013年，微軟宣稱SHA-1憑證會在接下來幾年出現顯著的安全問題，因此在2016年1月1日過後不能再簽發。大多數瀏覽器在微軟的帶動下也表示將會在2017年1月1日停止支援SHA-1憑證，要求伺服器所有者在期限前升級到SHA-2憑證。Google Chrome已經在瀏覽器介面上對於會在2016年到期的SHA-1憑證顯示警告標誌（圖A），以及2016年後過期的SHA-1憑證顯示不安全標示（圖B）。

 

圖A

圖B

最近的發展

你可能在最近看過一篇學術研究表示SHA-1憑證易受駭客攻擊，所以憑證並不如之前所想的那樣安全。報導也舉用了這項研究。

因為此一對網站管理者的新安全風險，各大瀏覽器都在考慮要立即變更計劃。例如，Mozilla可能在2016年7月1日在其瀏覽器介面和應用程式棄用SHA-1憑證，而非2016底。微軟正在考慮提前緊急棄用日期到2016年6月1日。

Mozilla部落格：https://blog.mozilla.org/security/2015/10/20/continuing-to-phase-out-sha-1-certificates/

微軟部落格：https://blogs.windows.com/msedgedev/2015/11/04/sha-1-deprecation-update/

如果這些提前棄用日期被確認，你所使用的SHA-1憑證在2016年6月1日可能會導致使用者訪問你網頁在瀏覽器介面上出現安全警示。這些瀏覽器廠商甚至可能會要求憑證中心（CA）如趨勢科技在2016年6月1日的提早棄用日期撤銷所有SHA-1憑證。

 

給你的強烈安全建議

因為這些發展，如果你的伺服器仍在使用SHA-1憑證，趨勢科技強烈建議你在2016年5月31日前更換為SHA-2憑證。可以的話越早越好。

此外，當你確認已經安裝了新的SHA-2憑證，我們建議你接著要撤銷舊的SHA-1憑證。

在更換SHA-1憑證前，必須先檢查你的伺服器和系統軟體是否支援SHA-2憑證。以下是CA Security Council在2014年所列出支援SHA-2的部分系統：

 

https://casecurity.org/wp-content/uploads/2014/09/SHA256-Support-List.pdf

 

我們了解此一建議可能對產生額外的負擔，但我們相信對於你的系統安全會有顯著的改善。

 

Chris Bailey的自介：

Chris Bailey是趨勢科技SSL的總經理。在此之前，Bailey擔任憑證中心（CA） – AffirmTrust的執行長兼共同創辦人，於2011年被趨勢科技所收購。他同時也是GeoTrust的共同創辦人兼技術長，這是VeriSign在2006年所併購的世界主要憑證中心（CA）。Bailey也是CA/Browser論壇和CA Security Council的創始會員之一。

 

＠原文出處：Accelerated Deprecation Date for SHA-1 Certificates?