Migracja z SHA-1 do SHA-256
05.09.2014
Zgodnie z ostatnimi zapowiedziami firm Microsoft, Mozilla i Google od 1 stycznia 2017 r. wszystkie certyfikaty SSL podpisane algorytmem SHA-1 nie będą obsługiwane w produktach ww. firm. W ostatnim komunikacie firmy Google wszystkie certyfikaty SSL podpisane algorytmem SHA-1 zostaną w specjalny sposób oznaczone w przeglądarce Google Chrome. Decyzja Google niejako wymusza podjęcie działań już teraz, które początkowo były zaplanowane na dwa najbliższe lata (2015 i 2016).
Powodem jest kryptograficzny algorytm podpisu SHA-1 uważany przez badaczy za niewystarczający i mogący w niedalekiej przyszłości powodować problemy. Nie oznacza to jednak, że ten algorytm jest niebezpieczny. Aktualnie w środowiskach produkcyjnych zaleca się migrację z SHA-1 na algorytm SHA-2, który jest uważany za wolny od ww. podatności.
Zaleca się migrację używanych certyfikatów SSL z algorytmu SHA-1 na SHA-2 poprzez wymianę na nowe.
Co należy zrobić?
- Należy dokonać wymiany certyfikatu SSL na nowy za pomocą Panelu Klienta Gigaone.
- Przy instalacji zaktualizowanego certyfikatu SSL na serwerze należy również zaktualizować certyfikat pośredni z aktualnie używanego SHA-1 na SHA-2. Nowy certyfikat pośredni dostarczymy w e-mailu wraz z odnowionym certyfikatem serwera. Stare certyfikaty pośrednie SHA-1 należy usunąć z konfiguracji serwera.
Czy wymiana certyfikatu SSL na nowy jest płatna?
Wymiana certyfikatu SSL jest bezpłatna.
Jak sprawdzić, który z certyfikatów SSL wymaga wymiany?
Zaloguj się do Panelu Klienta. Przejdź do listy listy aktywnych certyfikatów SSL. Aby ułatwić odnalezienie certyfikatu SHA-1 udostępniliśmy nową pozycję tabeli listy certyfikatów, która informuje o użytym algorytmie w wystawionym certyfikacie SSL:
Do kiedy mam czas na wymianę certyfikatu SSL?
Aby zapobiec wyświetlaniu ostrzeżeń w przeglądarce Google Chrome należy zapoznać się z poniższym harmonogramem wydań:
- Chrome 39 - stabilna wersja - listopad 2014 r.
- Certyfikaty SHA-1, które utracą ważność w roku 2017 i latach późniejszych będą oznaczane żółtym trójkątem ostrzegawczym:
-
- Chrome 40 - stabilna wersja - grudzień 2014 r.
- Certyfikaty SHA-1, które utracą ważność po 31.05.2016 r. będą oznaczane żółtym trójkątem ostrzegawczym:
-
- Certyfikaty SHA-1, które utracą ważność w roku 2017 i latach późniejszych otrzymają neutralne ostrzeżenie:
-
- Chrome 41 - stabilna wersja - 1 kwartał 2015 r.
- Certyfikaty SHA-1, które utracą ważność pomiędzy w roku 2016 będą oznaczane żółtym trójkątem ostrzegawczym:
-
- Certyfikaty SHA-1, które utracą ważność w roku 2017 i latach późniejszych będą oznaczane przekreślonym https w czerwonym kolorze:
-
Kompatybilność z przeglądarkami i serwerami
Można przyjąć, że 99% używanych współcześnie przeglądarek www i serwerów obsługuje algorytm podpisu SHA-2.
Przeglądarka - Minimalna wersja obsługująca SHA-2 |
---|
Firefox 1.5 |
Google Chrome 26 |
Internet Explorer 6 (z Windows XP SP3) |
Safari 3 |
Opera 9 |
System operacyjny - Minimalna wersja obsługująca SHA-2 |
---|
Windows 8 |
Windows 7 |
Windows Vista |
Windows XP SP3 |
Windows Server 2012 i 2012 R2 |
Windows Server 2008 i 2008 R2 |
Windows Server 2003 (z KB 938397) |
Windows Phone 7 |
OS X 10.5 |
iOS 3 |
Android 2.3 |
BlackBerry 5 |
Jak sprawdzić poprawność instalacji zaktualizowanych certyfikatów?
Polecamy serwis Qualys SSL Server Test