由於sha1簽名算法進入淘汰階段,逐漸棄用中,sha1升級爲sha2是大勢所趨。
微軟已經正式發佈sha1棄用策略: http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx
谷歌沒多久也發佈sha1的日落計劃: http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1.html
下面我們來關注幾個重要的日子:
2014年9月,2017後依然未過期的sha1證書,chrome將給予告警
2014年12月,2016年6月1日以後過期的sha1證書,chrome給予告警
2015年2月,任意2016年以後仍生效的sha1證書,chrome給予告警。
2016年1月,微軟將不信任不帶時間戳的sha1的代碼簽名。
2017年1月,微軟和Mozilla都將不再信任sha1的ssl證書。
針對sha2的升級策略,我們易維信做出如下方案:
在2014年12月份,默認簽發sha2的證書,在此期間,如果不是2017年前仍生效的證書,可選擇重頒發sha1證書。2016年1月1日以後,不再發出任何sha1證書
