发布时间: 2017 年 5 月 9 日
版本: 1.0
从 2017 年 5 月 9 日起,Microsoft 发布了对 Microsoft Edge 和 Internet Explorer 11 的更新,以阻止使用 SHA-1 证书保护的网站加载并显示无效的证书警告。 此更改只会影响链接到 Microsoft 受信任根计划中根的 SHA-1 证书,最终实体证书或颁发中间方使用 SHA-1。 企业或自签名 SHA-1 证书不会受到影响,尽管我们建议所有客户快速迁移到基于 SHA-2 的证书。 有关详细信息,请参阅 Windows 强制 SHA1 证书。
有关详细信息,请参阅 Microsoft 知识库文章4010323。
问题参考
有关此问题的详细信息,请参阅以下参考:
| 参考 | 参考 |
|---|---|
| 常规信息 | SHA1 证书的 Windows 强制实施 |
| \ | SHA-1 弃用倒计时 |
| 技术要求 | 防范弱加密算法 |
此公告适用于以下操作系统:
| Windows 7 |
|---|
| Windows 7 for 32 位系统 Service Pack 1 |
| 基于 x64 的系统 Service Pack 1 的 Windows 7 |
| Windows Server 2008 R2 |
| 基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 |
| 适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 |
| Windows 8.1 |
| 适用于 32 位系统的 Windows 8.1 |
| 基于 x64 的系统版 Windows 8.1 |
| Windows Server 2012 R2 |
| Windows Server 2012 R2 |
| Windows 10 |
| 适用于 32 位系统的 Windows 10 |
| 基于 x64 的系统版 Windows 10 |
| 适用于 32 位系统的 Windows 10 版本 1511 |
| 基于 x64 的系统版 Windows 10 版本 1511 |
| 适用于 32 位系统的 Windows 10 版本 1607 |
| 基于 x64 的系统版 Windows 10 版本 1607 |
| Windows Server 2016 |
| 基于 x64 的系统版 Windows Server 2016 |
| 服务器核心安装选项 |
| 适用于基于 x64 的系统(服务器核心安装)的 Windows Server 2008 R2 |
| Windows Server 2012 R2 (服务器核心安装) |
| 基于 x64 的系统(服务器核心安装)的 Windows Server 2016 |
公告的范围是什么?
此公告旨在帮助客户评估使用使用 SHA-1 哈希算法签名的 X.509 数字证书的某些应用程序的风险,并建议管理员和证书颁发机构使用 SHA-2 代替 SHA-1 作为对数字证书进行签名的算法。
这是否是要求 Microsoft 发出安全更新的安全漏洞?
否。 Microsoft 建议所有客户迁移到 SHA-2,不建议将 SHA-1 用作签名目的的哈希算法,并且不再是最佳做法。 尽管这不是 Microsoft 产品中的漏洞,但 Microsoft 正在发出此公告,以帮助澄清客户所涉及的实际风险。
造成此威胁的原因是什么?
问题的根本原因是 SHA-1 哈希算法的已知弱点,该算法暴露在冲突攻击中。 此类攻击可能允许攻击者生成与原始签名相同的附加证书。 不建议出于需要抵抗这些攻击的特定目的使用 SHA-1 证书。 在 Microsoft,安全开发生命周期要求 Microsoft 不再使用 SHA-1 哈希算法作为 Microsoft 软件中的默认值。 有关 SHA-1 碰撞弱点的详细信息,请参阅 SHAttered:完整 SHA-1 的第一次碰撞。
什么是数字证书?
在公钥加密中,密钥之一(称为私钥)必须保密。 另一个密钥(称为公钥)旨在与世界共享。 但是,密钥所有者必须有办法告诉世界密钥属于谁。 数字证书提供了执行此操作的方法。 数字证书是用于认证个人、组织和计算机的联机标识的电子凭据。 数字证书包含一个公钥,其中包含有关它的信息 -- 谁拥有它,它可用于什么,何时过期,等等。 有关详细信息,请参阅 了解数字证书。
数字证书的用途是什么?
数字证书主要用于验证人员或设备的标识、对服务进行身份验证或加密文件。 通常,除了偶尔的消息指出证书已过期或无效外,无需考虑证书。 在这种情况下,应按照消息中提供的说明进行操作。
什么是证书颁发机构(CA)?
证书颁发机构是颁发证书的组织。 他们建立并验证属于人员或其他证书颁发机构的公钥的真实性,并验证要求证书的人员或组织的身份。
查看 Microsoft 受信任的根计划策略更改
有兴趣了解有关此公告中涵盖的主题的详细信息的客户应查看 WINDOWS SHA1 证书强制实施。从 SHA-1 更新到 SHA-2
自 2016 年 1 月以来,证书颁发机构禁止颁发新的 SHA-1 证书。 客户应确保其证书颁发机构使用 SHA-2 哈希算法从其证书颁发机构获取 SHA-2 证书。 若要使用 SHA-2 证书对代码进行签名,请参阅 Windows 强制使用 SHA1 证书的本主题的指南。操作的影响: 基于硬件的旧解决方案可能需要升级以支持这些较新的技术。
保持Windows 更新
所有 Windows 用户都应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果不确定软件是否是最新的,请访问Windows 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果启用了自动汇报,则更新会在发布时传送给你,但你必须确保安装它们。
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关详细信息,请参阅国际性支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
- V1.0(2017 年 5 月 9 日):已发布公告。
页面生成的 2017-05-08 17:41-07:00。