Резюме
SHA-2 относится к семейству криптографических алгоритмов хеширования, разработанных Национальным институтом стандартов и технологий (NIST) с целью замены устаревшего алгоритма хеширования SHA-1 с возможными математическими недостатками.
GlobalSign, выступая в качестве партнера в области обеспечения безопасности, поддерживает намерение отказаться от SHA-1 и перейти к SHA-256, алгоритму хеширования SHA-2, получившему самую широкую поддержку. Мы будем тесно сотрудничать со всеми нашими клиентами, чтобы обеспечить процесс плавного перехода. Первый шаг на пути к этому — обеспечение возможности установки SSL-сертификата SHA-256 от компании GlobalSign с марта 2014 г.
В данной статье определены основные этапы ввода SSL-сертификатов SHA-256 и постепенного отказа от SSL-сертификатов SHA-1.
Важные даты, связанные с окончанием поддержки SHA-1:
| 1 января 2016 г. | Компания Microsoft прекратит доверие сертификатам подписи кода с использованием SHA-1. |
|---|---|
| 1 января 2017 г. | Компания Microsoft прекратит доверие SSL-сертификатам с использованием SHA-1. |
| Июль 2015 г. | Компания Microsoft пересмотрит даты, указанные выше, и, возможно, ускорит сроки. |
CA/B Forum еще не указал SHA-256 в своих Базовых требованиях, но компания Microsoft уже объявила установленный срок прекращения доверия всем корневым сертификатам SHA-1 с публичным ключом - январь 2017 г. Компания GlobalSign отслеживает состояние по данным CA/B Forum и формам безопасности, и будет предоставлять своим клиентам информацию об изменении этапов или о более ранних возможных сроках отказа от SHA-1.
Клиентам компании GlobalSign необходимо помнить о следующих событиях и датах:
| 31 Марта 2014 г. | Компания GlobalSign вводит и рекомендует использование SHA-256 в процессе заказа SSL-сертификата. |
|---|---|
| 31 Марта 2014 г. | Клиенты компании GlobalSign могут бесплатно перевыпустить имеющиеся сертификаты SHA-1 с заменой на SHA-256 в течение срока действия сертификата. |
| 31 Марта 2014 г. | Новые заявки на получение сертификата SHA-1 будут ограничены максимальным сроком действия 3 года. Компания GlobalSign будет следить за рисками, связанными с использованием SHA-1, и ситуацией постепенного отказа от доверия сертификатам со стороны Microsoft и других поставщиков, и в дальнейшем может сократить срок действия. |
| Январь 2016 г. | Компания GlobalSign минимизирует возможности выдачи сертификатов SHA-1 (дата может измениться в зависимости от позиции Microsoft). |
Известные проблемы совместимости:
Большинство приложений, серверов и браузеров поддерживают SHA-256. Однако некоторые ранние операционные системы, такие как Windows XP с пакетом обновления до Service Pack 3, и некоторые мобильные устройства его не поддерживают. Перед тем как Microsoft формально откажется от алгоритма SHA-1, очень важно, чтобы ваша организация и все компоненты, зависящие от ее инфраструктуры, воспользовались SHA-256, установив новейшие версии приложений или браузера, и применив все известные обновления для систем безопасности операционной системы.
Больше информации: SHA-2 Compatibility Summary.
Дополнительные материалы для чтения
CA Security Council:
https://casecurity.org/2014/01/30/why-we-need-to-move-to-sha-2/
https://casecurity.org/2013/12/16/sha-1-deprecation-on-to-sha-2/
Поддержка SHA-256 в ОС Windows:
http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx
Требования программы корневых сертификатов Microsoft: