作者:Chris Bailey(趨勢科技SSL總經理)
SHA-1憑證更換成SHA-2憑證的期限可能會提早到2016年6月1日,而非原先的2016年12月31日。
在2013年,微軟宣稱SHA-1憑證會在接下來幾年出現顯著的安全問題,因此在2016年1月1日過後不能再簽發。大多數瀏覽器在微軟的帶動下也表示將會在2017年1月1日停止支援SHA-1憑證,要求伺服器所有者在期限前升級到SHA-2憑證。Google Chrome已經在瀏覽器介面上對於會在2016年到期的SHA-1憑證顯示警告標誌(圖A),以及2016年後過期的SHA-1憑證顯示不安全標示(圖B)。
圖A
圖B
最近的發展
你可能在最近看過一篇學術研究表示SHA-1憑證易受駭客攻擊,所以憑證並不如之前所想的那樣安全。報導也舉用了這項研究。
因為此一對網站管理者的新安全風險,各大瀏覽器都在考慮要立即變更計劃。例如,Mozilla可能在2016年7月1日在其瀏覽器介面和應用程式棄用SHA-1憑證,而非2016底。微軟正在考慮提前緊急棄用日期到2016年6月1日。
Mozilla部落格:https://blog.mozilla.org/security/2015/10/20/continuing-to-phase-out-sha-1-certificates/
微軟部落格:https://blogs.windows.com/msedgedev/2015/11/04/sha-1-deprecation-update/
如果這些提前棄用日期被確認,你所使用的SHA-1憑證在2016年6月1日可能會導致使用者訪問你網頁在瀏覽器介面上出現安全警示。這些瀏覽器廠商甚至可能會要求憑證中心(CA)如趨勢科技在2016年6月1日的提早棄用日期撤銷所有SHA-1憑證。
給你的強烈安全建議
因為這些發展,如果你的伺服器仍在使用SHA-1憑證,趨勢科技強烈建議你在2016年5月31日前更換為SHA-2憑證。可以的話越早越好。
此外,當你確認已經安裝了新的SHA-2憑證,我們建議你接著要撤銷舊的SHA-1憑證。
在更換SHA-1憑證前,必須先檢查你的伺服器和系統軟體是否支援SHA-2憑證。以下是CA Security Council在2014年所列出支援SHA-2的部分系統:
https://casecurity.org/wp-content/uploads/2014/09/SHA256-Support-List.pdf
我們了解此一建議可能對產生額外的負擔,但我們相信對於你的系統安全會有顯著的改善。
Chris Bailey的自介:
Chris Bailey是趨勢科技SSL的總經理。在此之前,Bailey擔任憑證中心(CA) – AffirmTrust的執行長兼共同創辦人,於2011年被趨勢科技所收購。他同時也是GeoTrust的共同創辦人兼技術長,這是VeriSign在2006年所併購的世界主要憑證中心(CA)。Bailey也是CA/Browser論壇和CA Security Council的創始會員之一。