微软edge和IE11明年二月停止支持SHA-1
发布日期:2016-11-25Microsoft确认,2017年2月14日是其Microsoft Edge和Internet Explorer 11浏览器停止支持SHA-1的截止日期。在该日期之后,浏览器不会加载仍在运行SHA-1证书的网站,并向用户显示证书无效的警告。用户还必须采取额外的步骤来访问网站,如果他们这样选择。
这一举措遵循Google上周的公告,它将取消对计划在1月底发布的Chrome 56中的停止对SHA-1证书的支持,Mozilla也同样宣布了明年年初的弃用日期。
SHA-1(安全散列算法1)已经被Google,Firefox和Microsoft浏览器支持了十多年。但在SHA-1中已经证明了弱点和理论冲突,使用户暴露于欺骗和中间人攻击。继任者SHA-2解决了这些问题。但根据Venafi的说法,完全替换sha1还有很长的路要走。它估计35%的网站(在1100万个公共网站中)仍在使用SHA-1证书。
在博客文章中,Microsoft表示,其转换将仅影响链接到Microsoft受信任的根证书颁发机构的SHA-1证书。科技巨头也试图消除对移植的担心,说手工安装的企业或自签名SHA-1证书不会受到影响;确保主要位于公司防火墙后面的内部公司网站的平滑过渡。微软还表示,如果系统管理员正在运行2016年11月的Windows更新,包括2016年11月Windows 7 / Windows 8.1每月质量总结的预览,系统管理员可以跳过测试SHA-2的准备。这些用户可以使用Edge和IE 11测试他们的网站将如何受到SHA-2迁移的影响,微软说。此外,访问2017年2月14日迁移日期的网站的用户也可以选择忽略证书错误,并可以继续访问相关网站。 Microsoft还澄清了关于交叉签名证书的疑虑,解释了Windows只会检查根证书的指纹是否在Microsoft受信任的根证书计划中。微软高级计划经理Alec Oot和Jody Cloutier表示:“与Microsoft受信任的根证书交叉签署的企业/自签名根证书不会受到2017年2月计划的更改的影响。
“证书安全对网站的成功至关重要。所有Web浏览器都使用证书来确定在线交易期间什么可以信任,什么不可信任。这对于包含敏感数据的交易尤为重要,例如电子商务和网上银行。”Venafi的Scott Carter在最近一篇关于SHA-1贬值的文章中指出。
对网站所有者不迁移的后果包括访问者被警告访问不安全的网站,并被敦促在别处寻找内容。浏览器不会在地址栏中显示“绿色挂锁”,一些网站可能会遇到性能问题,根据Venafi。
Carter写道:“三分之一的网站正在忙于替换他们的SHA-1证书,或者他们完全不知道他们可能仍然拥有尚未找到的SHA-1证书。我怀疑,许多这些网站仍然不知道的后果。”
来源:Threatpost
相关资讯:
部分HTTPS站点受影响,Mozilla暂停SHA-1弃用计划
因部分使用SHA-1新证书的HTTPS站点无法访问,Mozilla将暂时恢复支持脆弱的SHA-1算法,直到找到解决方案避免一些副作用。