由于sha1进入淘汰阶段,逐渐弃用中。

微软已经正式发布sha1弃用策略http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx

谷歌没多久也发布sha1的日落计划

http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1.html

 

从这些重量级人物出手的情况来看,sha1升级为sha2是大势所趋。

 

下面我们来关注几个重要的日子:

2014年9月,2017后依然未过期的sha1证书,chrome将给予告警

2014年12月,2016年6月1日以后过期的sha1证书,chrome给予告警

2015年2月,任意2016年以后仍生效的sha1证书,chrome给予告警。

2016年1月,微软将不信任不带时间戳的sha1的代码签名。

2017年1月,微软和Mozilla都将不再信任sha1的ssl证书。

 

具体可以从下面图中看一下

针对sha2的升级策略,我们亚洲诚信做出如下方案:

在2014年12月份,默认签发sha2的证书,在此期间,如果不是2017年前仍生效的证书,可选择重颁发sha1证书。

2016年以后,不再发出任何sha1证书