SHA-2 stöd

ational Institute of Standards and Technology (NIST) rådde att gå till SHA-2 för att utfärda digitala certifikat. SHA-familjen utvecklas av NIST och används av Certifikatutfärdare (CA) för att signera certifikat. SHA-2 ersätter SHA-1.

Applikationer

Applikationer, som webläsare,kommer att visa fel för SHA-1-intyg. Vilken typ av varning visas beror på vilken webbläsare.

  • Sedan 2016 slutade Microsoft stödja SHA-1 kodsigneringscertifikat i Internet Explorer. Från 2017 Microsoft kommer att sluta stödja SHA-1 SSL-certifikat. Windows 7 och högre, kommer att visa en varning för kodsignering SHA-1 underskrifter utan en tidsstämpel, som gjorts före 2016. Kod tecknandet med SHA-1 signaturer och med en tidsstämpel kommer att fungera som vanligt tills 14 januari 2020.
  • Google Chrome kommer att visa en varning för SHA-1 certifikat som löper ut efter den 1 januari 2017.
  • Mozilla kommer att visa varningar i Firefox för SHA-1 certifikat som löper ut efter 2016.

Certificate Authorities

CA:s inte kommer att utfärda SHA-1 certifikat längre.

Beställning av certifikat

Alla certifikat från alla märken kommer att utfärdas med SHA-2.

  • Det är möjligt att återutfärda din SHA-1-certifikat till en SHA-2 certifikat gratis.
  • Den tidigare certifikatet återkallas inte efter nyutgåva.

Om du inte är säker på vilken algoritm används, kan du kontrollera certifikatet på vår SSLCheck. Algoritmen visas i fältet 'signatur'.

OBS: Allt detta handlar om site och intermediate certifikat. SHA-1 signerade root certifikat förblir giltiga och kommer fortfarande att användas.

Installation av certifikat

De flesta klienter och servrar stöder SHA-2, undantag är föråldrade operativsystem som Windows XP-versioner utan Service Pack 3.

Följande klienter och servrar och mobila enheter stödjer SHA-2:

Klienter

   Mac OS X 10.5+
   Microsoft Windows XP SP3, Vista, 7 och 8
   .NET Framework 1.1+
   Internet Explorer 7+
   Apple Safari 5+
   Mozilla Firefox 1.5+
   Opera 9.0+
   Konqueror 3.5.6+
   Mozilla based browsers 3.8+
   OpenSSL 0.9.8+
   Java 1.4.2+ based products
   Google Chrome 26+
   Adobe Acrobat/Reader 7+

Servrar

   Apache server
   Mac OS X Server 10.5+
   Microsoft Windows Server 2003 SP2+ 
   Microsoft Windows Server 2008+
   Microsoft Exchange 2010 SP3+
   Microsoft Lync 2010+
   Oracle WebLogic 10.3.1+

Mobile devices

   iPhone OS 3.0+
   Blackberry 5.0+
   Windows Phone 7+
   Android 2.3+

E-mail klienter

Följande versioner kan underteckna med SHA-2, föråldrade versioner oftast kan validera SHA-2 tecknat e-post:

  • Mozilla Thunderbird 38 och högre;
  • Microsoft Outlook 2007 på Windows Vista och högre;
  • IBM Notes version 9 och högre.

Bakgrund

En fast hashfunktion kommer att ge ett starkt motstånd mot sammanstötningar, vilket innebär att risken för att matcha ingångsvärden måste vara liten. Under de tidigare år har sårbarheter hittats i SHA-1, vilket gjorde algoritmen mer känsliga mot sammanstötningar. Detta innebär att risken för att matcha ingångsvärden i en attack är högre.

För certifikat, hashing används för att garantera att meddelandet är giltig och kommer att förbli giltiga. Att knäcka SHA-1-algoritmen skulle innebära att innehållet i ett signerat meddelande eller certifikat kan ändras, utan att det märks, eftersom hash av meddelandet eller certifikatet förblir densamma. I SHA-2, inga sårbarheter har upptäckts.

SSL-kontroll

SSLCheck kontrollerar om certifikatet är korrekt installerat på din server och om det finns potentiella problem.