Gigaone Logo

Migracja z SHA-1 do SHA-256

05.09.2014

Zgodnie z ostatnimi zapowiedziami firm Microsoft, Mozilla i Google od 1 stycznia 2017 r. wszystkie certyfikaty SSL podpisane algorytmem SHA-1 nie będą obsługiwane w produktach ww. firm. W ostatnim komunikacie firmy Google wszystkie certyfikaty SSL podpisane algorytmem SHA-1 zostaną w specjalny sposób oznaczone w przeglądarce Google Chrome. Decyzja Google niejako wymusza podjęcie działań już teraz, które początkowo były zaplanowane na dwa najbliższe lata (2015 i 2016).

Powodem jest kryptograficzny algorytm podpisu SHA-1 uważany przez badaczy za niewystarczający i mogący w niedalekiej przyszłości powodować problemy. Nie oznacza to jednak, że ten algorytm jest niebezpieczny. Aktualnie w środowiskach produkcyjnych zaleca się migrację z SHA-1 na algorytm SHA-2, który jest uważany za wolny od ww. podatności.

Zaleca się migrację używanych certyfikatów SSL z algorytmu SHA-1 na SHA-2 poprzez wymianę na nowe.

Co należy zrobić?

Czy wymiana certyfikatu SSL na nowy jest płatna?

Wymiana certyfikatu SSL jest bezpłatna.

Jak sprawdzić, który z certyfikatów SSL wymaga wymiany?

Zaloguj się do Panelu Klienta. Przejdź do listy listy aktywnych certyfikatów SSL. Aby ułatwić odnalezienie certyfikatu SHA-1 udostępniliśmy nową pozycję tabeli listy certyfikatów, która informuje o użytym algorytmie w wystawionym certyfikacie SSL:

Uwaga! Jeżeli posiadasz certyfikat SSL wystawiony pomiędzy kwietniem a wrześniem 2014 r. z algorytmem SHA2-256 również należy dokonać jego wymiany. Te certyfikaty zostały wystawione z użyciem certyfikatu pośredniego SHA-1, który jest lub będzie przyczyną ostrzeżeń w przeglądarce Chrome.

Do kiedy mam czas na wymianę certyfikatu SSL?

Aby zapobiec wyświetlaniu ostrzeżeń w przeglądarce Google Chrome należy zapoznać się z poniższym harmonogramem wydań:

Chrome 39 - stabilna wersja - listopad 2014 r.
Certyfikaty SHA-1, które utracą ważność w roku 2017 i latach późniejszych będą oznaczane żółtym trójkątem ostrzegawczym:

Chrome 40 - stabilna wersja - grudzień 2014 r.
Certyfikaty SHA-1, które utracą ważność po 31.05.2016 r. będą oznaczane żółtym trójkątem ostrzegawczym:

Certyfikaty SHA-1, które utracą ważność w roku 2017 i latach późniejszych otrzymają neutralne ostrzeżenie:

Chrome 41 - stabilna wersja - 1 kwartał 2015 r.
Certyfikaty SHA-1, które utracą ważność pomiędzy w roku 2016 będą oznaczane żółtym trójkątem ostrzegawczym:

Certyfikaty SHA-1, które utracą ważność w roku 2017 i latach późniejszych będą oznaczane przekreślonym https w czerwonym kolorze:

Kompatybilność z przeglądarkami i serwerami

Można przyjąć, że 99% używanych współcześnie przeglądarek www i serwerów obsługuje algorytm podpisu SHA-2.

Przeglądarka - Minimalna wersja obsługująca SHA-2
Firefox 1.5
Google Chrome 26
Internet Explorer 6 (z Windows XP SP3)
Safari 3
Opera 9
System operacyjny - Minimalna wersja obsługująca SHA-2
Windows 8
Windows 7
Windows Vista
Windows XP SP3
Windows Server 2012 i 2012 R2
Windows Server 2008 i 2008 R2
Windows Server 2003 (z KB 938397)
Windows Phone 7
OS X 10.5
iOS 3
Android 2.3
BlackBerry 5

Jak sprawdzić poprawność instalacji zaktualizowanych certyfikatów?

Polecamy serwis Qualys SSL Server Test