微软edge和IE11明年二月停止支持SHA-1

Microsoft确认，2017年2月14日是其Microsoft Edge和Internet Explorer 11浏览器停止支持SHA-1的截止日期。在该日期之后，浏览器不会加载仍在运行SHA-1证书的网站，并向用户显示证书无效的警告。用户还必须采取额外的步骤来访问网站，如果他们这样选择。

这一举措遵循Google上周的公告，它将取消对计划在1月底发布的Chrome 56中的停止对SHA-1证书的支持，Mozilla也同样宣布了明年年初的弃用日期。

SHA-1(安全散列算法1)已经被Google，Firefox和Microsoft浏览器支持了十多年。但在SHA-1中已经证明了弱点和理论冲突，使用户暴露于欺骗和中间人攻击。继任者SHA-2解决了这些问题。但根据Venafi的说法，完全替换sha1还有很长的路要走。它估计35%的网站(在1100万个公共网站中)仍在使用SHA-1证书。

在博客文章中，Microsoft表示，其转换将仅影响链接到Microsoft受信任的根证书颁发机构的SHA-1证书。科技巨头也试图消除对移植的担心，说手工安装的企业或自签名SHA-1证书不会受到影响;确保主要位于公司防火墙后面的内部公司网站的平滑过渡。微软还表示，如果系统管理员正在运行2016年11月的Windows更新，包括2016年11月Windows 7 / Windows 8.1每月质量总结的预览，系统管理员可以跳过测试SHA-2的准备。这些用户可以使用Edge和IE 11测试他们的网站将如何受到SHA-2迁移的影响，微软说。此外，访问2017年2月14日迁移日期的网站的用户也可以选择忽略证书错误，并可以继续访问相关网站。 Microsoft还澄清了关于交叉签名证书的疑虑，解释了Windows只会检查根证书的指纹是否在Microsoft受信任的根证书计划中。微软高级计划经理Alec Oot和Jody Cloutier表示：“与Microsoft受信任的根证书交叉签署的企业/自签名根证书不会受到2017年2月计划的更改的影响。

“证书安全对网站的成功至关重要。所有Web浏览器都使用证书来确定在线交易期间什么可以信任，什么不可信任。这对于包含敏感数据的交易尤为重要，例如电子商务和网上银行。”Venafi的Scott Carter在最近一篇关于SHA-1贬值的文章中指出。

对网站所有者不迁移的后果包括访问者被警告访问不安全的网站，并被敦促在别处寻找内容。浏览器不会在地址栏中显示“绿色挂锁”，一些网站可能会遇到性能问题，根据Venafi。

Carter写道：“三分之一的网站正在忙于替换他们的SHA-1证书，或者他们完全不知道他们可能仍然拥有尚未找到的SHA-1证书。我怀疑，许多这些网站仍然不知道的后果。”

来源：Threatpost

相关资讯：

部分HTTPS站点受影响,Mozilla暂停SHA-1弃用计划

因部分使用SHA-1新证书的HTTPS站点无法访问,Mozilla将暂时恢复支持脆弱的SHA-1算法,直到找到解决方案避免一些副作用。