以下為CA所提供之微軟SHA1 棄用說明
SHA1-based SSL 和 code signing certificates 將分別在不同的時間終止使用.
全球所有CA將於2016年1月1日停止發行 SHA1 SSL 和 Code Signing certificates.
針對伺服器憑證SSL的部份, Windows 將於2017年1月1日起停止接受 SHA1 格式的憑證.
這表示在2017年1月1日之後,任何之前已核發的 SHA1 SSL certificates 或在此日之後發行的憑證都必須以 SHA2 格式核發或重發才能被接受.
針對程式碼簽章憑證 code signing certificates,
Windows 將於2016年1月1日後停止接受時間戳記在2016年1月1日之後,以 SHA1 簽發的程式碼和 SHA1 憑證.
依循RFC 3161時戳服務中心,於2016年1月1日前, 以 SHA1 簽發的程式碼時間戳記將被接受,直到 Microsoft 認為 SHA1 可能被 pre-image attack 反譯攻擊法攻擊為止.
本計劃將不再接受以支援 SHA1 或 RSA 2048 的新根憑證所簽發的程式碼.
新的程式碼簽章憑證( code signing root certificates) 應支援 SHA2 和 RSA 4096.
針對非 SSL 和 Code Signing certificates, CA將於2016年1月1日後不再核發 SHA1 憑證.
Microsoft 保留於2017年1月1日後更新 Windows 以執行停止接受 SHA1 憑證的權利.
註:以上非微軟正式中文聲明,只是為了方便客戶瞭解的口語譯文,寰宇數位保留修正的權利.
|