sha1与sha2更替之间,带来的影响
由于sha1进入淘汰阶段,逐渐弃用中。
微软已经正式发布sha1弃用策略http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx
谷歌没多久也发布sha1的日落计划
http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1.html
从这些重量级人物出手的情况来看,sha1升级为sha2是大势所趋。
下面我们来关注几个重要的日子:
2014年9月,2017后依然未过期的sha1证书,chrome将给予告警
2014年12月,2016年6月1日以后过期的sha1证书,chrome给予告警
2015年2月,任意2016年以后仍生效的sha1证书,chrome给予告警。
2016年1月,微软将不信任不带时间戳的sha1的代码签名。
2017年1月,微软和Mozilla都将不再信任sha1的ssl证书。
具体可以从下面图中看一下
针对sha2的升级策略,我们亚洲诚信做出如下方案:
在2014年12月份,默认签发sha2的证书,在此期间,如果不是2017年前仍生效的证书,可选择重颁发sha1证书。
2016年以后,不再发出任何sha1证书