關於GlobalSign即將停止簽發SHA-1代碼簽名的公告
尊敬的客戶/合作伙伴:
GlobalSign的代碼簽名證書產品將面臨兩個主要變化,如下:
一,即將停止SHA-1代碼簽名的簽發
GlobalSign將自2020年6月29日起不再提供SHA1哈希算法的代碼簽名證書。
在2020年6月29日開始,GlobalSign在此之前由於某些舊的操作系統在代碼簽名證書驗證中不支持較新的SHA-2算法,因此GlobalSign爲客戶提供了SHA1和SHA2兩種算法的選項。將通過SHA-1證書,轉換到2021年元月1日停止使用SHA-1內置服務。如果用戶現有的SHA-1證書有效期如果超過2021年1月1日,則需要重新提交。
(注:GlobalSign將在CAB論壇所宣佈的CA機構停止使用SHA-1算法和逐步服務的終止日期2021-1-1之前強制實施)
二,內核模式驅動程序簽名進程-KCMS證書到期
在過去,要在Windows內核模式下執行的客戶簽名軟件或驅動程序可以使用任何GlobalSign代碼簽名證書以及鏈接回GlobalSign R1根的微軟交叉證書。此交叉證書將於2021年4月到期,微軟將不會續訂任何此類證書。新的使用方式是需要註冊微軟硬件開發計劃,註冊過程需要客戶使用公共信任的有效EV代碼簽名證書對文件進行簽名。
關於以上這兩個變化的更多信息,請參見以下說明:
SHA-1代碼簽名的生命週期終止
背景
截至2020年6月29日,GlobalSign已允許客戶簽發使用SHA-1哈希算法簽名的代碼簽名證書。由於Microsoft舊版操作系統不支持SHA-2簽名軟件,因此我們繼續允許SHA-1代碼簽名發佈。
在2019年,Microsoft完成了對舊操作系統中SHA-2的完全支持。
此外,CAB論壇關於代碼簽名的指南現在要求CA必須在2021年1月1日之前停止頒發SHA-1代碼簽名證書和SHA1時間戳。
變化或影響
從2020年6月29日開始-GlobalSign將停止頒發SHA-1代碼簽名證書。在該日期之後,只能訂購證書並與SHA-2一起重新頒發。
從2021年1月1日起生效-將不再提供SHA1時間戳記。
經常問的問題
我目前擁有SHA-1代碼簽名證書,對我有何影響?
如果您的證書在2021年1月之前到期,則在續訂證書時應選擇SHA-2頒發選項。如果您的證書僅在2021年1月1日之後過期,則應在此之前使用SHA-2重新頒發證書。該日期與SHA-1簽名證書的到期日期不符,因爲已頒發的證書仍然有效,但需要SHA-1時間戳進行簽名。
我不確定我當前的代碼簽名證書是SHA-1還是SHA-2?
自2018年以來,必須在訂購期間明確選擇SHA-1的選項。除非您這樣做,否則將向SHA-2頒發您的證書。如有疑問,可以在證書詳細信息中選中“簽名哈希算法”和“簽名算法”字段。
我以前簽名的軟件會受到影響嗎?
如果啓用了簽名的長期有效,則先前簽名的軟件不受影響。對於大多數簽名應用程序,這是默認設置。
我有依賴SHA-1簽名應用程序的舊應用程序
從2021年1月1日開始,沒有CA能夠提供公共信任的SHA1代碼簽名證書。建議您更新系統,以便可以處理SHA-2哈希。