上海網(wǎng)站優(yōu)化公司
上海網(wǎng)站優(yōu)化公司
SHA-1算法曾廣泛應(yīng)用于TLS/SSL、PGP、SSH、S/MIME及IPsec等多項安全協(xié)議,是互聯(lián)網(wǎng)通信安全的重要基石。然而,自2005年密碼學(xué)研究證實其破解速度較預(yù)期提升2000倍后,該算法的安全性持續(xù)受到質(zhì)疑。盡管破解SHA-1仍需極高成本,但隨著計算能力指數(shù)級增長與硬件成本降低,其抗攻擊能力逐年衰減,全球密碼學(xué)界已形成共識:需由安全強度更高的SHA-2系列算法全面替代SHA-1,以應(yīng)對日益嚴峻的安全威脅。
為推動安全協(xié)議升級,主流瀏覽器廠商已陸續(xù)公布SHA-1棄用計劃。微軟率先明確時間表:自2016年1月1日起,所有Windows受信任的根證書頒發(fā)機構(gòu)(CA)須停止簽發(fā)SHA-1算法的SSL證書及代碼簽名證書;針對SSL證書,Windows系統(tǒng)將于2017年1月1日起徹底停止支持SHA-1證書,要求此前簽發(fā)的證書必須替換為SHA-2證書;代碼簽名證書方面,系統(tǒng)自2016年1月1日起不再接受無時間戳的SHA-1簽名代碼,但保留對已加RFC3161時間戳的歷史代碼的支持,直至潛在攻擊風(fēng)險顯現(xiàn)。
Google則通過漸進式策略引導(dǎo)用戶,在Chrome 39版本中逐步降低SHA-1證書的安全指示,后續(xù)版本持續(xù)收緊政策,最終對使用SHA-1證書(有效期至2016年)的站點顯示黃色警告。Mozilla同步宣布,將于2016年1月1日前停止發(fā)放SHA-1證書,2017年1月1日后不再信任此類證書。Opera明確支持Google的路線,而Safari團隊暫未公開表態(tài),持續(xù)觀察行業(yè)動態(tài)。
盡管微軟已終止Windows XP系統(tǒng)服務(wù)支持,我國仍有約2億用戶依賴XP系統(tǒng),其中超300萬Windows XP SP2用戶因系統(tǒng)限制無法支持SHA-2簽名算法,低端手機用戶群體規(guī)模更為龐大。景安網(wǎng)絡(luò)作為國內(nèi)SSL服務(wù)提供商,曾代表中國用戶在國際CA瀏覽器論壇2014北京秋季會議上呼吁廠商關(guān)注本土國情,提出針對性解決方案。然而,全球互聯(lián)網(wǎng)安全協(xié)同升級的大趨勢下,SHA-1算法淘汰已成必然,我國用戶需直面兼容性與安全性的雙重挑戰(zhàn)。
針對尚不支持SHA-2算法的Windows用戶,景安建議務(wù)必在2016年12月31日前升級至XP SP3版本或徹底棄用XP系統(tǒng)。SSL證書用戶需及時排查證書簽名算法:通過瀏覽器地址欄安全鎖圖標(biāo),依次點擊“查看證書信息—詳細信息—簽名算法”,即可確認當(dāng)前證書所使用的算法類型。
仍在使用SHA-1簽名算法的網(wǎng)站,需密切關(guān)注各瀏覽器更新時間表,優(yōu)先更換為SHA-2證書。景安網(wǎng)絡(luò)自2011年起已支持SHA-2證書簽發(fā),用戶下單時可自主選擇算法類型,且其PKI系統(tǒng)將持續(xù)升級,實現(xiàn)從中級根證書到用戶證書的全鏈SHA-2支持。同時,景安可為所有SSL用戶提供定制化技術(shù)支持與咨詢服務(wù),確保證書升級過程無縫銜接。
