SHA-1是一种非常流行的用于
SSL证书的散列算法,但现在被认为是不安全的。2012年,一份报告表明,现在已经有可能以足够的处理能力打破SHA-1。2013年11月,微软宣布他们不会在2016年之后接受SHA1证书。微软和谷歌也宣布计划使用SHA-1弃用证书。为了在现代浏览器中获得完全的安全性,必须将使用SHA-1的任何旧证书升级到较新的哈希算法(如SHA-256)。
一、从SHA-1证书切换
您首先需要查找环境中使用SHA-1证书的所有证书。如果您拥有大量证书,可以使用我们的SSL Checker或DigiCert的SHA-1 Sunset Tool或Symantec的SSL工具箱等工具。找到证书后,您只需生成新的CSR并将CSR发送给证书提供商,以重新颁发或替换证书。您的提供程序将使用您可以在服务器上安装的SHA-2哈希算法颁发新证书。大多数提供商都会免费为您服务。
二、SHA-1证书兼容性
不幸的是,几个较旧的平台和设备不支持SHA-2算法。为了完全安全,您需要先升级这些设备和平台,然后才能实施新的SHA-2证书。如果您无法立即升级环境的这一部分,Secure128可以发布可以临时使用的SHA-1证书,直到您能够迁移为止。从私有CA层次结构(VeriSign PCA3-G1 / G2根CA)发出任何SSL / TLS证书将允许您和您的客户支持需要SHA-1证书的旧设备和/或系统。这些证书具有以下要求:
Symantec SHA-1 Private SSL是一种业务组织验证证书
不支持非FQDN,内部服务器名称或专用域
VeriSign PCA3-G2和Verisign PCA3-G1仅适用于
仅支持2048
仅支持公共IP地址(无私有IP地址)
需要组织身份验证和域授权/所有权
重新签发/更换期间免费提供
支持2016年1月1日以后的SHA-1(限于1年任期)
可以作为SHA-1全链和SHA混合链使用
仅支持加密算法RSA(非DSA和ECC)
从这些层次结构发出的TLS证书不适用于现代浏览器。将它们与现代浏览器一起使用可能会带来安全风险,并且他们会将这些证书视为不受信任。
