1. 程式人生 > >如何應對SHA-1加密演算法升級為SHA-256

如何應對SHA-1加密演算法升級為SHA-256

經過權威機構證實,sha1加密演算法的不安全性越來越高,sha指紋造假成本越來越低,隨即微軟、谷歌等IT巨頭相繼釋出棄用sha1加密演算法宣告,第三方認證機構自2016年1月1日起,將全面停止簽發SHA1演算法的數字證書。這一切表明都表明從1995年誕生至今的SHA1演算法將被SHA-256所取代。

對於SSL證書和程式碼簽名證書使用者,從頒發時間點上來說,一般2014年12月之前頒發的數字證書很有可能使頒發的簽名指紋為sha1加密演算法的證書,2015年1月之後,一般頒發的簽名指紋為sha256加密演算法的證書,具體您可以通過檢視自己公司所使用的證書資訊來確定。例如SSL證書,您只需要在瀏覽器內點開那個安全鎖,檢視證書內容,找開證書內容如下圖就是sha1簽名演算法:

  

針對此次SHA-1升級到SHA-256加密演算法,我們的數字證書使用者應該做好哪些應對策略呢?對於SSL證書使用者,伺服器運維人員應立即棄用老版本的 SHA-1證書,儘管Windows Xp 和IE 6還存在少部分使用者,但這是非常少的一部分, 自古有云:"兩害相權取其輕",我們不能因為這極少部分的使用者,而且影響到絕大部分使用者體驗。實際現在用谷歌瀏覽器開啟sha1加密演算法的https網頁時,正常的安全鎖圖示變為如下非正常的空白紙圖示,並提示“此網站使用了安全系統較低的安全配置(SHA-1簽名),因此您的連線可能不具有私密性”,如下圖:

在【易維信-EVTrust】申請SSL證書的使用者,均已經提前免費頒發新的SHA-256加密演算法證書。對於程式碼簽名證書的軟體開發者,可要求證書頒發機構同時頒發SHA1和SHA-256兩種加密演算法的證書,針對不同平臺的軟體版本用不同的數字簽名演算法的證書做數字簽名,例如Windows XP,Windows 2000或更早版本的系統用sha演算法的數字簽名證書,Windows 7或以上的軟體版本用sha2加密演算法的數字簽名證書。

如果您目前不是【易維信-EVTrust】的客戶,我們的線上顧問也可以為您提供任何有關於sha1升級相關事項,如果確實需要我們的技術工程師全程協助,您也只需支付少量的人工服務費。