Microsoft 安全咨询4010323

弃用 Microsoft Edge 和 Internet Explorer 11 中 SSL/TLS 证书的 SHA-1

发布时间: 2017 年 5 月 9 日

版本: 1.0

执行摘要

从 2017 年 5 月 9 日起,Microsoft 发布了对 Microsoft Edge 和 Internet Explorer 11 的更新,以阻止使用 SHA-1 证书保护的网站加载并显示无效的证书警告。 此更改只会影响链接到 Microsoft 受信任根计划中根的 SHA-1 证书,最终实体证书或颁发中间方使用 SHA-1。 企业或自签名 SHA-1 证书不会受到影响,尽管我们建议所有客户快速迁移到基于 SHA-2 的证书。 有关详细信息,请参阅 Windows 强制 SHA1 证书

有关详细信息,请参阅 Microsoft 知识库文章4010323

咨询详细信息

问题参考

有关此问题的详细信息,请参阅以下参考:

参考 参考
常规信息 SHA1 证书的 Windows 强制实施
\ SHA-1 弃用倒计时
技术要求 防范弱加密算法

受影响的软件

此公告适用于以下操作系统:

Windows 7
Windows 7 for 32 位系统 Service Pack 1
基于 x64 的系统 Service Pack 1 的 Windows 7
Windows Server 2008 R2
基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2
适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2
Windows 8.1
适用于 32 位系统的 Windows 8.1
基于 x64 的系统版 Windows 8.1
Windows Server 2012 R2
Windows Server 2012 R2
Windows 10
适用于 32 位系统的 Windows 10
基于 x64 的系统版 Windows 10
适用于 32 位系统的 Windows 10 版本 1511
基于 x64 的系统版 Windows 10 版本 1511
适用于 32 位系统的 Windows 10 版本 1607
基于 x64 的系统版 Windows 10 版本 1607
Windows Server 2016
基于 x64 的系统版 Windows Server 2016
服务器核心安装选项
适用于基于 x64 的系统(服务器核心安装)的 Windows Server 2008 R2
Windows Server 2012 R2 (服务器核心安装)
基于 x64 的系统(服务器核心安装)的 Windows Server 2016

咨询常见问题解答

公告的范围是什么? 
此公告旨在帮助客户评估使用使用 SHA-1 哈希算法签名的 X.509 数字证书的某些应用程序的风险,并建议管理员和证书颁发机构使用 SHA-2 代替 SHA-1 作为对数字证书进行签名的算法。

这是否是要求 Microsoft 发出安全更新的安全漏洞? 
否。 Microsoft 建议所有客户迁移到 SHA-2,不建议将 SHA-1 用作签名目的的哈希算法,并且不再是最佳做法。 尽管这不是 Microsoft 产品中的漏洞,但 Microsoft 正在发出此公告,以帮助澄清客户所涉及的实际风险。

造成此威胁的原因是什么?  
问题的根本原因是 SHA-1 哈希算法的已知弱点,该算法暴露在冲突攻击中。 此类攻击可能允许攻击者生成与原始签名相同的附加证书。 不建议出于需要抵抗这些攻击的特定目的使用 SHA-1 证书。 在 Microsoft,安全开发生命周期要求 Microsoft 不再使用 SHA-1 哈希算法作为 Microsoft 软件中的默认值。 有关 SHA-1 碰撞弱点的详细信息,请参阅 SHAttered:完整 SHA-1 的第一次碰撞。

什么是数字证书? 
在公钥加密中,密钥之一(称为私钥)必须保密。 另一个密钥(称为公钥)旨在与世界共享。 但是,密钥所有者必须有办法告诉世界密钥属于谁。 数字证书提供了执行此操作的方法。 数字证书是用于认证个人、组织和计算机的联机标识的电子凭据。 数字证书包含一个公钥,其中包含有关它的信息 -- 谁拥有它,它可用于什么,何时过期,等等。 有关详细信息,请参阅 了解数字证书

数字证书的用途是什么?  
数字证书主要用于验证人员或设备的标识、对服务进行身份验证或加密文件。 通常,除了偶尔的消息指出证书已过期或无效外,无需考虑证书。 在这种情况下,应按照消息中提供的说明进行操作。

什么是证书颁发机构(CA)?  
证书颁发机构是颁发证书的组织。 他们建立并验证属于人员或其他证书颁发机构的公钥的真实性,并验证要求证书的人员或组织的身份。

建议的操作

  • 查看 Microsoft 受信任的根计划策略更改
    有兴趣了解有关此公告中涵盖的主题的详细信息的客户应查看 WINDOWS SHA1 证书强制实施。

  • 从 SHA-1 更新到 SHA-2
    自 2016 年 1 月以来,证书颁发机构禁止颁发新的 SHA-1 证书。 客户应确保其证书颁发机构使用 SHA-2 哈希算法从其证书颁发机构获取 SHA-2 证书。 若要使用 SHA-2 证书对代码进行签名,请参阅 Windows 强制使用 SHA1 证书本主题的指南。

    操作的影响: 基于硬件的旧解决方案可能需要升级以支持这些较新的技术。

  • 保持Windows 更新
    所有 Windows 用户都应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果不确定软件是否是最新的,请访问Windows 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果启用了自动汇报,则更新会在发布时传送给你,但你必须确保安装它们。

其他信息

反馈

支持

免责声明

此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修订

  • V1.0(2017 年 5 月 9 日):已发布公告。

页面生成的 2017-05-08 17:41-07:00。