SSL Certifikat overgang fra SHA-1 til SHA-2
Opdagelsen af sårbarheder i SHA-1 algoritme og en fortsat stigning i computerkraft, betyder at muligheden for at bryde en SHA-1 hash stiger med tiden. Browserproducenter og certifikatudbyder (CAs) er allerede begyndt at udfase SHA-1 til fordel for den nye SHA-2 algoritme. De seneste udmeldinger fra Google om at droppe støtte til SHA-1-baserede certifikater med en udløbsdato i 2016 eller senere betyder, at du bliver nødt til at skride til handling nu for at sikre at dit SSL setup ikke bliver påvirket af den fremskyndede overgang. Denne artikel giver dig flere oplysninger om, hvornår det vil påvirke din SSL opsætning og hvordan du kan skifte til SHA-2 certifikater.
På nuværende tidspunkt i 2014 er SHA-1 stadig acceptabel, men med en fortsat stigning i computerkraft, vil sikkerheden i SHA-1 blive et problem i fremtiden.
Som din sikkerhedspartner har QualitySSL allerede gjort SHA-256 til standard hashing algoritme for alle nye QualitySSL Certifikater siden september 2014.
Vigtige datoer
Som en del af deres SHA-2 migreringsplan har Google, Microsoft og Mozilla annonceret, at de vil stoppe med at stole på SHA-1 SSL certifikater. Google vil begynde at udfase tillid i SHA-1 certifikater ved udgangen af 2014, mens Microsoft og Mozilla vil begynde at udfase tillid til SHA-1 certifikater i 2016.
- November 2014 - SHA-1 SSL Certifikater som udløber i 2017 vil vise en advarsel i Chrome 39.
- December 2014 - SHA-1 SSL Certifikater der udløber efter den 31 maj 2016 vil vise en advarsel i Chrome 40.
- January 2015 - SHA-1 SSL Certifikater som udløber i 2016 vil vise en advarsel i Chrome 41.
- January 1, 2016 - Microsoft ophører med at stole på Code Signing Certifikater som bruger SHA-1.
- January 1, 2017 - Mozilla Firefox og Microsoft ophører med at stole på SSL Certifikater som bruger SHA-1.
SHA-2 Kompatibilitet
Den gode nyhed er, at de mest anvendte operativsystemer, browsere, e-mail klienter og mobile enheder allerede understøtter SHA-2. Vi har lavet en SHA-2 kompatibilitetsliste, da der er nogle ældre operativsystemer som Windows XP SP2, der i øjeblikket ikke understøtter SHA-2.
Følgende liste giver et overblik over styresystemer / browsere, der i øjeblikket understøtter SHA-2:
- Apple iOS 3.0+
- Android 2.3+
- Blackberry 5+
- Internet Explorer 6+ (with Win XP SP3+)
- Safari with Mac OS X 10.5+
- Firefox 1.5+
- Netscape 7.1+
- Mozilla 1.4+
- Opera 9.0+
- Konqueror 3.5.6+
- Mozilla based browsers sine 3.8+
- OpenSSL 0.9.8o+
- Java 1.4.2+ based products
- Chrome 26+
- Windows Phone 7+
Nedenstående liste giver en oversigt over servere, der i øjeblikket understøtter SHA-2:
- 4D Server 14.01+
- Apache server 2.0.63+ with OpenSSL 0.9.8o+
- Barracuda Network Access Client 3.5+
- Cisco ASA 5500 8.2.3.9+ for AnyConnect VPN Sessions; 8.4(2)+ for other functionalities
- CrushFTP 7.1.0+
- F5 BIG-IP 10.1.0+
- IBM Domino Server2 9.0+ (Bundled with HTTP 8.5+)
- IBM HTTP Server2 8.5+ (Bundled with Domino 9+)
- IBM z/OS v1r10+
- Java based servers using Java 1.4.2+
- Mac OS X Server 10.5+
- OpenSSL based servers using OpenSSL 0.9.8o+
- Oracle Wallet Manager 11.2.0.1+
- Oracle Weblogic 10.3.1+
- SonicOS (SonicWALL) 5.9.0.0+
- WebSphere MQ 7.0.1.4+
- Windows Server 2008
- Windows Server 2012
- Windows Server 2003 SP2 +patch 938397
Find og erstat SHA-1 certifikater Gratis
Som QualitySSL kunde kan du få dine QualitySSL Certifikater genudstedt med SHA-256 uden omkostninger. Alt du skal gøre er at oprette et nyt CSR og e-maile det til support@qualityssl.com.
Bemærk venligst: Genudstedelse af et certifikat forudsætter gennemførelse af valideringen før certifikatet bliver tilgængelig, så planlæg i overensstemmelse hermed.
Hvis du har et certifikat fra en anden leverandør kan du bruge vores SSL Server Test til at tjekke om dit SSL certifikat bruger SHA-1 og hvis du beslutter dig for at udskifte certifikatet med et nyt QualitySSL certifikat så e-mail din QualitySSL ordrenummer til sales@qualityssl.com og vi tilføjer gratis 3 måneders ekstra levetid til dit nye SHA-256 certifikat.
Kan du stadig få et SHA-1 certifikat, hvis du har brug for det?
Ja, indtil December 2015 kan du kontakte support@qualityssl.com med dit ordrenummer og ønske om at få certifikatet udstededet med SHA-1. Bemærk venligst at SHA-1 certifikater vil være begrænset til en levetid på 1 år.