Migracja certyfikatów SSL z SHA-1 do SHA-2

Zgodnie z ostatnimi zapowiedziami firm Microsoft, Mozilla i Google od 1 stycznia 2017 r. wszystkie certyfikaty SSL podpisane algorytmem SHA-1 nie będą obsługiwane w produktach ww. firm. W ostatnim komunikacie firmy Google wszystkie certyfikaty SSL podpisane algorytmem SHA-1 zostaną w specjalny sposób oznaczone w przeglądarce Google Chrome. Decyzja Google niejako wymusza podjęcie działań już teraz, które początkowo były zaplanowane na dwa najbliższe lata (2015 i 2016).

Powodem jest kryptograficzny algorytm podpisu SHA-1 uważany przez badaczy za niewystarczający i mogący w niedalekiej przyszłości powodować problemy. Nie oznacza to jednak, że ten algorytm jest niebezpieczny. Aktualnie w środowiskach produkcyjnych zaleca się migrację z SHA-1 na algorytm SHA-2, który jest uważany za wolny od ww. podatności.

Zaleca się migrację używanych certyfikatów SSL z algorytmu SHA-1 na SHA-2 poprzez wymianę na nowe.



Co należy zrobić?

  • Należy dokonać wymiany certyfikatu SSL na nowy za pomocą Panelu Klienta Gigaone.
  • Przy instalacji zaktualizowanego certyfikatu SSL na serwerze należy również zaktualizować certyfikat pośredni z aktualnie używanego SHA-1 na SHA-2. Nowy certyfikat pośredni dostarczymy w e-mailu wraz z odnowionym certyfikatem serwera. Stare certyfikaty pośrednie SHA-1 należy usunąć z konfiguracji serwera.


Czy wymiana certyfikatu SSL na nowy jest płatna?

Wymiana certyfikatu SSL jest bezpłatna.



Jak sprawdzić, który z certyfikatów SSL wymaga wymiany?

Zaloguj się do Panelu Klienta. Przejdź do listy listy aktywnych certyfikatów SSL. Aby ułatwić odnalezienie certyfikatu SHA-1 udostępniliśmy nową pozycję tabeli listy certyfikatów, która informuje o użytym algorytmie w wystawionym certyfikacie SSL:



Uwaga! Jeżeli posiadasz certyfikat SSL wystawiony pomiędzy kwietniem a wrześniem 2014 r. z algorytmem SHA2-256 również należy dokonać jego wymiany. Te certyfikaty zostały wystawione z użyciem certyfikatu pośredniego SHA-1, który jest lub będzie przyczyną ostrzeżeń w przeglądarce Chrome.


Do kiedy mam czas na wymianę certyfikatu SSL?

Aby zapobiec wyświetlaniu ostrzeżeń w przeglądarce Google Chrome należy zapoznać się z poniższym harmonogramem wydań:

Chrome 39 - stabilna wersja - listopad 2014 r.
Certyfikaty SHA-1, które utracą ważność w roku 2017 i latach późniejszych będą oznaczane żółtym trójkątem ostrzegawczym:




Chrome 40 - stabilna wersja - grudzień 2014 r.
Certyfikaty SHA-1, które utracą ważność po 31.05.2016 r. będą oznaczane żółtym trójkątem ostrzegawczym:



Certyfikaty SHA-1, które utracą ważność w roku 2017 i latach późniejszych otrzymają neutralne ostrzeżenie:




Chrome 41 - stabilna wersja - 1 kwartał 2015 r.
Certyfikaty SHA-1, które utracą ważność pomiędzy w roku 2016 będą oznaczane żółtym trójkątem ostrzegawczym:



Certyfikaty SHA-1, które utracą ważność w roku 2017 i latach późniejszych będą oznaczane przekreślonym https w czerwonym kolorze:




Kompatybilność z przeglądarkami i serwerami

Można przyjąć, że 99% używanych współcześnie przeglądarek www i serwerów obsługuje algorytm podpisu SHA-2.

Przeglądarka - Minimalna wersja obsługująca SHA-2
Firefox   Firefox 1.5
Google Chrome   Google Chrome 26
Internet Explorer   Internet Explorer 6 (z Windows XP SP3)
Apple Safari   Safari 3
Opera   Opera 9
System operacyjny - Minimalna wersja obsługująca SHA-2
Windows 8   Windows 8
Windows 7   Windows 7
Windows Vista   Windows Vista
Windows XP   Windows XP SP3
Windows 7   Windows Server 2012 i 2012 R2
Windows 7   Windows Server 2008 i 2008 R2
Windows 7   Windows Server 2003 (z KB 938397)
Windows Phone 7   Windows Phone 7
OS X   OS X 10.5
iOS (iPhone/iPad)   iOS 3
Android Browser   Android 2.3
BlackBerry   BlackBerry 5

Jak sprawdzić poprawność instalacji zaktualizowanych certyfikatów?

Polecamy serwis Qualys SSL Server Test