SHA-1 устаревшими приложениями Майкрософт и Mozilla предложить новые, ранее даты июнь/июль 2016 для SSL/TLS в

16 Ноября 2015 | Компанией Comodo

В свете недавних исследований , который утверждает, что алгоритм SHA-1 алгоритм хеширования может быть более уязвим для атак, чем считалось ранее, как Microsoft и Mozilla начали переговоры, чтобы выдвинуть дату, когда их браузеры будут отвергать ша-1 на основе протокола SSL/TLS-сертификатов.

Хотя еще не подтверждено, в Mozilla рассматривает отвергая ша-1 сертификаты после 1 июля 2016, в то время как Microsoft может начать отвергать их после чуть раньше даты июня 2016 года. Если эти планы станут политики, то Firefox и Internet Explorer в/края будет выводить сообщения об ошибках всякий раз, когда они сталкиваются с ша-1 Сертификат после новой даты. Предыдущий срок был 1 января 2017 как пояснили в наши бюллетени здесь и здесь.

Мы ожидаем, что Google может анонсировать аналогичные сроки их браузер Chrome в ближайшее время. Из-за этого мы настоятельно рекомендуем клиентам заменить любой алгоритм SHA-1 и SSL/TLS-сертификатов на своих сайтах, бесплатно, с ша-2 версии не позднее 31 мая 2016.

В следующей таблице приведены предлагаемые новые даты, когда основные браузеры перестанут доверять ша-1 подписали протокол SSL/TLS-сертификатов:
 

Протокол SSL/TLS-сертификатов
  Текущий Срок Предполагаемый Срок Реализации
IE Майкрософт/края Янв 1сен 2017 Июнь 1Сент 2016
Браузер Mozilla Firefox С Янв 1сен 2017 Июля 1Сент 2016
Гугл Хром Янв 1сен 2017 Пока не сообщается

Mozilla в блоге: https://blog.mozilla.org/security/2015/10/20/continuing-to-phase-out-sha-1-certificates/

Блоге Microsoft: https://blogs.windows.com/msedgedev/2015/11/04/sha-1-deprecation-update/

Читатели должны учитывать все даты также подлежит изменению в ожидании дальнейших комментариев от Microsoft, Google и Mozilla.

Как я узнаю, что на меня распространяется?

Введите ваш домен в наш сертификат проверки на https://sslanalyzer.comodoca.com/ . В ‘подпись’ строки скажет вам, если у вас есть алгоритм SHA-1 сертификата. Если так, пожалуйста, получите бесплатный ша-2 замены от Comodo до 31 мая 2016. Если срок действия вашего сертификата истекает до 31 мая тогда вы свободны, чтобы позволить ему истечь, как обычно, но мы советуем Вам получить ша-2 замена при первой возможности в любом случае, чтобы обеспечить самый высокий уровень защиты для ваших посетителей.

Как получить ша-2 сертификата?

Comodo предлагает бесплатный сертификат замены программы для всех клиентов. Для того чтобы заменить ваш алгоритм SHA-1 сертификата, войдите в свой аккаунт компании Comodo, найдите ваш сертификат заказа и использования "заменить сертификат" объекта. Пожалуйста, убедитесь, чтобы предоставить ша-2 КСО (или выберите "ша-2" вариант под ‘хэш-алгоритма’ на сертификат бланк заказа). Мы также обратимся к Comodo клиентов и партнеров с SHA-1 сертификаты, срок действия которых истекает после 31 мая 2016, чтобы помочь им и получить взамен новый. Более подробные рекомендации можно найти в этой статье службы поддержки.

Делает что-нибудь еще нужно ша-1?

Есть полный список операционных систем, браузеров и серверов, которые поддерживают алгоритм SHA-2 на ЦС Совета Безопасности сайт здесь. Если у вас есть конкретный кусок программного обеспечения, которое у вас опасений, мы рекомендуем обратиться к поставщику программного обеспечения, чтобы увидеть, если они имеют или планируют предложить, ша-2 поддержки.
В Comodo есть тестовый сайт, который использует алгоритм SHA-2 сертификата. Вы можете протестировать программное обеспечение и устройства против этого URL-адреса, чтобы попытаться определить алгоритм SHA-2 совместимости: https://sha256rsa.comodoca.com

Компания Comodo будет продолжать следить за ситуацией и работать с нашими клиентами с целью обеспечения ша-2 апгрейд прошел как можно более гладко. Если у вас есть вопросы о переходе, пожалуйста, свяжитесь с вашим аккаунт-менеджер компании Comodo или Comodo поддержки непосредственно на support@comodo.com

Это влияет на сертификаты подписи кода?

Произошли также незначительные изменения в компании Microsoft политика на ша-1 сертификаты для подписывания кода:
 

Сертификаты Подписания Кода
1 января 2016
– В Windows 7 вверх будет доверять только ша-2, подписанного кода
– Кас больше не вопрос ша-1 сертификаты подписания кода
– Кас, может выдавать сертификаты SHA-1 девелоперам, нацеленным на Windows Vista или Server 2008 только

Обратите внимание, что хотя ЦС может выпускать ша-1 сертификаты подписи кода после 1 января 2016, код подписан (и созданные) с ша-1 подписи или с использованием алгоритма SHA-1 сертификата не будет работать по стандартной технологии подписания authenticode для код для запуска на Windows 7 и вверх.

Майкрософт правоприменения: http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-authenticode-code-signing-and-timestamping.aspx#H1_B

Ссылки и дополнительная литература
https://blog.mozilla.org/security/2015/10/20/continuing-to-phase-out-sha-1-certificates/
https://blogs.windows.com/msedgedev/2015/11/04/sha-1-deprecation-update/
http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-authenticode-code-signing-and-timestamping.aspx#H1_B
https://sites.google.com/site/itstheshappening/
https://www.comodo.com/e-commerce/SHA-2-transition-next-steps.php
https://www.comodo.com/e-commerce/SHA-2-transition.php
https://casecurity.org/2014/01/30/why-we-need-to-move-to-sha-2/
https://casecurity.org/2013/12/16/sha-1-deprecation-on-to-sha-2/

«Переведено сервисом «Яндекс.Переводчик»

Карта сайта
Certificate Authority
EV SSL Certificate Authority
SSL Certificate Authority
Certification Authorities