Переход на SHA-256

SHA-2 относится к семейству криптографических алгоритмов хеширования, разработанных Национальным институтом стандартов и технологий (NIST) с целью замены устаревшего алгоритма хеширования SHA-1 с возможными математическими недостатками.

GlobalSign, выступая в качестве партнера в области обеспечения безопасности, поддерживает намерение отказаться от SHA-1 и перейти к SHA-256, алгоритму хеширования SHA-2, получившему самую широкую поддержку. Мы будем тесно сотрудничать со всеми нашими клиентами, чтобы обеспечить процесс плавного перехода. Первый шаг на пути к этому — обеспечение возможности установки SSL-сертификата SHA-256 от компании GlobalSign с марта 2014 г.

В данной статье определены основные этапы ввода SSL-сертификатов SHA-256 и постепенного отказа от SSL-сертификатов SHA-1.

Важные даты, связанные с окончанием поддержки SHA-1:

1 января 2016 г. Компания Microsoft прекратит доверие сертификатам подписи кода с использованием SHA-1.
1 января 2017 г. Компания Microsoft прекратит доверие SSL-сертификатам с использованием SHA-1.
Июль 2015 г. Компания Microsoft пересмотрит даты, указанные выше, и, возможно, ускорит сроки.

CA/B Forum еще не указал SHA-256 в своих Базовых требованиях, но компания Microsoft уже объявила установленный срок прекращения доверия всем корневым сертификатам SHA-1 с публичным ключом - январь 2017 г. Компания GlobalSign отслеживает состояние по данным CA/B Forum и формам безопасности, и будет предоставлять своим клиентам информацию об изменении этапов или о более ранних возможных сроках отказа от SHA-1.


Клиентам компании GlobalSign необходимо помнить о следующих событиях и датах:

31 Марта 2014 г. Компания GlobalSign вводит и рекомендует использование SHA-256 в процессе заказа SSL-сертификата.
31 Марта 2014 г. Клиенты компании GlobalSign могут бесплатно перевыпустить имеющиеся сертификаты SHA-1 с заменой на SHA-256 в течение срока действия сертификата.
31 Марта 2014 г. Новые заявки на получение сертификата SHA-1 будут ограничены максимальным сроком действия 3 года. Компания GlobalSign будет следить за рисками, связанными с использованием SHA-1, и ситуацией постепенного отказа от доверия сертификатам со стороны Microsoft и других поставщиков, и в дальнейшем может сократить срок действия.
Январь 2016 г. Компания GlobalSign минимизирует возможности выдачи сертификатов SHA-1 (дата может измениться в зависимости от позиции Microsoft).


Известные проблемы совместимости:

Большинство приложений, серверов и браузеров поддерживают SHA-256. Однако некоторые ранние операционные системы, такие как Windows XP с пакетом обновления до Service Pack 3, и некоторые мобильные устройства его не поддерживают. Перед тем как Microsoft формально откажется от алгоритма SHA-1, очень важно, чтобы ваша организация и все компоненты, зависящие от ее инфраструктуры, воспользовались SHA-256, установив новейшие версии приложений или браузера, и применив все известные обновления для систем безопасности операционной системы.

Больше информации: SHA-2 Compatibility Summary.

Дополнительная информация:

CA Security Council:

https://casecurity.org/2014/01/30/why-we-need-to-move-to-sha-2/
https://casecurity.org/2013/12/16/sha-1-deprecation-on-to-sha-2/

Поддержка SHA-256 в ОС Windows:

http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx

Требования программы корневых сертификатов Microsoft:

http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements-version-2-0.aspx