經過權威機構證實,sha1加密算法的不安全性越來越高,sha指紋造假成本越來越低,隨即微軟、谷歌等IT巨頭相繼發布棄用sha1加密算法聲明,第三方認證機構自2016年1月1日起,將全面停止簽發SHA1算法的數字證書。這一切表明都表明從1995年誕生至今的SHA1算法將被SHA-256所取代。
對於SSL證書和代碼簽名證書用戶,從頒發時間點上來說,一般2014年12月之前頒發的數字證書很有可能使頒發的簽名指紋為sha1加密算法的證書,2015年1月之后,一般頒發的簽名指紋為sha256加密算法的證書,具體您可以通過查看自己公司所使用的證書信息來確定。例如SSL證書,您只需要在瀏覽器內點開那個安全鎖,查看證書內容,找開證書內容如下圖就是sha1簽名算法:
針對此次SHA-1升級到SHA-256加密算法,我們的數字證書用戶應該做好哪些應對策略呢?對於SSL證書用戶,服務器運維人員應立即棄用老版本的 SHA-1證書,盡管Windows Xp 和IE 6還存在少部分用戶,但這是非常少的一部分, 自古有雲:"兩害相權取其輕",我們不能因為這極少部分的用戶,而且影響到絕大部分用戶體驗。實際現在用谷歌瀏覽器打開sha1加密算法的https網頁時,正常的安全鎖圖標變為如下非正常的空白紙圖標,並提示“此網站使用了安全系統較低的安全配置(SHA-1簽名),因此您的連接可能不具有私密性”,如下圖:
在【易維信-EVTrust】申請SSL證書的用戶,均已經提前免費頒發新的SHA-256加密算法證書。對於代碼簽名證書的軟件開發者,可要求證書頒發機構同時頒發SHA1和SHA-256兩種加密算法的證書,針對不同平台的軟件版本用不同的數字簽名算法的證書做數字簽名,例如Windows XP,Windows 2000或更早版本的系統用sha算法的數字簽名證書,Windows 7或以上的軟件版本用sha2加密算法的數字簽名證書。
如果您目前不是【易維信-EVTrust】的客戶,我們的在線顧問也可以為您提供任何有關於sha1升級相關事項,如果確實需要我們的技術工程師全程協助,您也只需支付少量的人工服務費。