SHA-2 understøttelse

Det Nationale Institut for Standarder og Teknologi (NIST) anbefaler at gå til SHA-2 for udstedelse af digitale certifikater. SHA-familien er udviklet af NIST og anvendes af Certificate Authorities (CAs) til signering af certifikater. SHA-2 er efterfølgeren til SHA-1 og den har ikke samme svaghederne som SHA-1.

Programmer

Programmer, som browsere, vil vise fejl med SHA-1 certifikater. Hvilken slags advarsel vises er browserafhængig.

  • Siden 2016 er Microsoft stoppede med understøttelse af SHA-1 Code Signing certifikater i Internet Explorer. I 2017 vil Microsoft ophøre med at støtte SHA-1 SSL certifikater. Windows 7 og højere, vil vise en advarsel for Code Signing SHA-1 signaturer uden et tidsstempel foretaget før 2016. Code Signing SHA-1 signaturer med et tidsstempel er stadig betroet indtil 14 januar 2020.
  • Google Chrome vil vise en advarsel for SHA-1 certifikater som udløber efter 1. januar i 2017.
  • Mozilla vil vise advarsler i Firefox for SHA-1 certifikater som udløber efter 2016.

Certificate Authorities

CA's vil ikke længere udstede SHA-1 certifikater.

Bestilling certifikater

Alle certifikater fra alle mærker vil blive udstedt med SHA-2.

  • Det er muligt at gratis genudstede dit SHA-1 certifikat til et SHA-2 certifikat .
  • Det tidligere certifikat bliver ikke tilbagekaldt efter genudgivelse.

Hvis du ikke er sikker på hvilken SHA version bruges, kan du tjekke dit certifikat på SSLCheck. SHA version er vist i feltet 'signatur'. Du kan også tjekke SHA versionen i dit kontrolpanel, i kolonnen 'Hash'.

NB: Alt dette er om root- og intermediate certifikater, SHA-1 underskrevne rootcertifikater forbliver gyldige og vil stadig blive brugt. For rootcertifikater er identiteten vigtigere end hash signaturen.

Installer certifikater

De fleste klienter og servere understøtter SHA-2, undtagelser er forældede operativsystemer som Windows XP uden Service Pack 3. Til installationen er nye SHA-2 rootcertifikater tilgængelige.

Følgende klienter, servere og mobile enheder vil understøtte SHA-2:

Klienter

  • Mac OS X 10.5+
  • Microsoft Windows XP SP3, Vista, 7 en 8
  • .NET Framework 1.1+
  • Internet Explorer 7+
  • Apple Safari 5+
  • Mozilla Firefox 1.5+
  • Opera 9.0+
  • Konqueror 3.5.6+
  • Mozilla based browsers 3.8+
  • OpenSSL 0.9.8+
  • Java 1.4.2+ baserede produkter
  • Google Chrome 26+
  • Adobe Acrobat/Reader 7+

Server

  • Apache server
  • Mac OS X Server 10.5+
  • Microsoft Windows Server 2003 SP2+ (efter installation af KB 938397 og KB 968730)
  • Microsoft Windows Server 2008+
  • Microsoft Exchange 2010 SP3 og højre
  • Microsoft Lync 2010 en 2013
  • Oracle WebLogic 10.3.1+

Mobile enheder

  • iPhone OS 3.0+
  • Blackberry 5.0+
  • Windows Phone 7+
  • Android 2.3+

E-mail klienter

Følgende versioner kan underskrive med SHA-2, forældede versioner kan ofte validere SHA-2 underskrevne e-mails:

  • Mozilla Thunderbird 38 og højere;
  • Microsoft Outlook 2007 på Windows Vista og højere;
  • IBM Notes version 9 og højere.

Baggrund

En solid hashfunktionen giver en stærk modstand mod sammenstød, hvilket betyder at chancen for at matchende input værdier skal være lille. I de foregående år blev der fundet sårbarheder i SHA-1 hvilket gjorde algoritmen mere følsomme over for sammenstød. Det betyder mulighed for matchende inputværdier i et angreb er højere.

For certifikater hashing bliver brugt til at sikre at budskabet er autentisk og vil forblive autentiske. Knækker man SHA-1 algoritmen betyder det at indholdet af en signeret meddelelse eller et certifikat kan ændres, uden at man lægger mærke til det, fordi hash af meddelelsen eller certifikatet forbliver den samme. I SHA-2, efterfølgeren til af SHA-1, har man endnu ikke fundet nogen sårbarheder.

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.