Migracja z SHA-1 do SHA-256

05.09.2014

Zgodnie z ostatnimi zapowiedziami firm Microsoft, Mozilla i Google od 1 stycznia 2017 r. wszystkie certyfikaty SSL podpisane algorytmem SHA-1 nie będą obsługiwane w produktach ww. firm. W ostatnim komunikacie firmy Google wszystkie certyfikaty SSL podpisane algorytmem SHA-1 zostaną w specjalny sposób oznaczone w przeglądarce Google Chrome. Decyzja Google niejako wymusza podjęcie działań już teraz, które początkowo były zaplanowane na dwa najbliższe lata (2015 i 2016).

Powodem jest kryptograficzny algorytm podpisu SHA-1 uważany przez badaczy za niewystarczający i mogący w niedalekiej przyszłości powodować problemy. Nie oznacza to jednak, że ten algorytm jest niebezpieczny. Aktualnie w środowiskach produkcyjnych zaleca się migrację z SHA-1 na algorytm SHA-2, który jest uważany za wolny od ww. podatności.

Zaleca się migrację używanych certyfikatów SSL z algorytmu SHA-1 na SHA-2 poprzez wymianę na nowe.

Co należy zrobić?

Należy dokonać wymiany certyfikatu SSL na nowy za pomocą Panelu Klienta Gigaone.
Przy instalacji zaktualizowanego certyfikatu SSL na serwerze należy również zaktualizować certyfikat pośredni z aktualnie używanego SHA-1 na SHA-2. Nowy certyfikat pośredni dostarczymy w e-mailu wraz z odnowionym certyfikatem serwera. Stare certyfikaty pośrednie SHA-1 należy usunąć z konfiguracji serwera.

Czy wymiana certyfikatu SSL na nowy jest płatna?

Wymiana certyfikatu SSL jest bezpłatna.

Jak sprawdzić, który z certyfikatów SSL wymaga wymiany?

Zaloguj się do Panelu Klienta. Przejdź do listy listy aktywnych certyfikatów SSL. Aby ułatwić odnalezienie certyfikatu SHA-1 udostępniliśmy nową pozycję tabeli listy certyfikatów, która informuje o użytym algorytmie w wystawionym certyfikacie SSL:

Uwaga! Jeżeli posiadasz certyfikat SSL wystawiony pomiędzy kwietniem a wrześniem 2014 r. z algorytmem SHA2-256 również należy dokonać jego wymiany. Te certyfikaty zostały wystawione z użyciem certyfikatu pośredniego SHA-1, który jest lub będzie przyczyną ostrzeżeń w przeglądarce Chrome.

Do kiedy mam czas na wymianę certyfikatu SSL?

Aby zapobiec wyświetlaniu ostrzeżeń w przeglądarce Google Chrome należy zapoznać się z poniższym harmonogramem wydań:

Chrome 39 - stabilna wersja - listopad 2014 r.: Certyfikaty SHA-1, które utracą ważność w roku 2017 i latach późniejszych będą oznaczane żółtym trójkątem ostrzegawczym:
Chrome 40 - stabilna wersja - grudzień 2014 r.: Certyfikaty SHA-1, które utracą ważność po 31.05.2016 r. będą oznaczane żółtym trójkątem ostrzegawczym:; Certyfikaty SHA-1, które utracą ważność w roku 2017 i latach późniejszych otrzymają neutralne ostrzeżenie:
Chrome 41 - stabilna wersja - 1 kwartał 2015 r.: Certyfikaty SHA-1, które utracą ważność pomiędzy w roku 2016 będą oznaczane żółtym trójkątem ostrzegawczym:; Certyfikaty SHA-1, które utracą ważność w roku 2017 i latach późniejszych będą oznaczane przekreślonym https w czerwonym kolorze:

Kompatybilność z przeglądarkami i serwerami

Można przyjąć, że 99% używanych współcześnie przeglądarek www i serwerów obsługuje algorytm podpisu SHA-2.

Przeglądarka - Minimalna wersja obsługująca SHA-2
Firefox 1.5
Google Chrome 26
Internet Explorer 6 (z Windows XP SP3)
Safari 3
Opera 9

System operacyjny - Minimalna wersja obsługująca SHA-2
Windows 8
Windows 7
Windows Vista
Windows XP SP3
Windows Server 2012 i 2012 R2
Windows Server 2008 i 2008 R2
Windows Server 2003 (z KB 938397)
Windows Phone 7
OS X 10.5
iOS 3
Android 2.3
BlackBerry 5

Jak sprawdzić poprawność instalacji zaktualizowanych certyfikatów?

Polecamy serwis Qualys SSL Server Test