行业新闻与博客

谷歌将在 Chrome 56 中显示 SHA1 证书的错误

从 2017 年 1 月开始,SHA-1 支持将从流行的浏览器中删除

SHA-1 结束了。从 2017 年 1 月开始,谷歌浏览器 - 不久之后,其他浏览器社区 - 将删除 SHA-1 支持并开始使仍然使用 SHA-1 SSL 证书的网站不安全。

这一举动已经很长时间了。

SHA-1 是 2011 - 2015 年的行业标准哈希算法,尽管许多安全专家警告说 SHA-1 容易受到某些类型的攻击。2016 年初,SHA-2 取代了 SHA-1 作为行业标准。从那时起,所有证书必须使用 SHA-2 发布,并且浏览器社区已开始将 SHA-1 弃用的截止日期设置为。

截止日期是现在。

不幸的是,并非所有公司和组织都为变革做好准备。Per Venafi 安全策略副总裁 Kevin Bocek:


还有很多工作要做。大型企业来到我们这里要么尚未开始,要么已经尝试开始并没有取得很大进展......大部分是团队不知道从哪里开始。


Venafi 为企业级客户提供与加密相关的服务和解决方案。根据公司的研究,35% 的网络仍然使用 SHA-1 证书。

对于许多企业而言,迁移问题与基础架构有关:它们仍在使用不支持 SHA-2 的旧系统和设备。在这种情况下,升级那么多基础设施的成本可能过高。

幸运的是,有一个解决方法。如果公司或组织迅速采取行动,它仍然可以确保 Chrome 54 中的协议允许它在 2019 年 1 月 1 日之前使用 SHA-1 支持。

为此,管理员必须使用“EnableSHA1ForLocalAnchors”策略。Google 仍会区分链接到公共证书颁发机构的证书和链接到本地 CA 的证书。

根据 Google Chrome 安全团队的成员,Andrew Whalley:


我们认识到,在极少数情况下,企业希望自己做出风险管理决策,继续使用 SHA-1 证书......需要安全来源的功能(如地理位置)将继续有效,但页面将显示为“中性” ,缺乏安全感。如果没有这个策略集,链接到本地安装的根目录的 SHA-1 证书将不受信任,从 Chrome 57 开始,将在 2017 年 3 月发布到稳定通道...请注意,即使没有策略集,SHA-1 客户端证书也将仍会出现在请求客户端身份验证的网站上


但是,希望使用 Google 的 SHA-1 规定的公司和组织需要意识到这种支持无法保证。如果 SHA-1 发生重大加密中断,Google 保留在 1-1-19 截止日期前删除支持的权利。

因此,尽管这项规定需要花费一些时间,但您仍然需要快速迁移到 SHA-2。

SHA-1 正式结束。

非常感谢您对亚洲注册的支持与信任!

禁止转载

需要帮助吗?联系我们的支持团队 在线客服