SHA-2 understøttelse
Det Nationale Institut for Standarder og Teknologi (NIST) anbefaler at gå til SHA-2 for udstedelse af digitale certifikater. SHA-familien er udviklet af NIST og anvendes af Certificate Authorities (CAs) til signering af certifikater. SHA-2 er efterfølgeren til SHA-1 og den har ikke samme svaghederne som SHA-1.
Programmer
Programmer, som browsere, vil vise fejl med SHA-1 certifikater. Hvilken slags advarsel vises er browserafhængig.
- Siden 2016 er Microsoft stoppede med understøttelse af SHA-1 Code Signing certifikater i Internet Explorer. I 2017 vil Microsoft ophøre med at støtte SHA-1 SSL certifikater. Windows 7 og højere, vil vise en advarsel for Code Signing SHA-1 signaturer uden et tidsstempel foretaget før 2016. Code Signing SHA-1 signaturer med et tidsstempel er stadig betroet indtil 14 januar 2020.
- Google Chrome vil vise en advarsel for SHA-1 certifikater som udløber efter 1. januar i 2017.
- Mozilla vil vise advarsler i Firefox for SHA-1 certifikater som udløber efter 2016.
Certificate Authorities
CA's vil ikke længere udstede SHA-1 certifikater.
Bestilling certifikater
Alle certifikater fra alle mærker vil blive udstedt med SHA-2.
- Det er muligt at gratis genudstede dit SHA-1 certifikat til et SHA-2 certifikat .
- Det tidligere certifikat bliver ikke tilbagekaldt efter genudgivelse.
Hvis du ikke er sikker på hvilken SHA version bruges, kan du tjekke dit certifikat på SSLCheck. SHA version er vist i feltet 'signatur'. Du kan også tjekke SHA versionen i dit kontrolpanel, i kolonnen 'Hash'.
NB: Alt dette er om root- og intermediate certifikater, SHA-1 underskrevne rootcertifikater forbliver gyldige og vil stadig blive brugt. For rootcertifikater er identiteten vigtigere end hash signaturen.
Installer certifikater
De fleste klienter og servere understøtter SHA-2, undtagelser er forældede operativsystemer som Windows XP uden Service Pack 3. Til installationen er nye SHA-2 rootcertifikater tilgængelige.
Følgende klienter, servere og mobile enheder vil understøtte SHA-2:
Klienter
- Mac OS X 10.5+
- Microsoft Windows XP SP3, Vista, 7 en 8
- .NET Framework 1.1+
- Internet Explorer 7+
- Apple Safari 5+
- Mozilla Firefox 1.5+
- Opera 9.0+
- Konqueror 3.5.6+
- Mozilla based browsers 3.8+
- OpenSSL 0.9.8+
- Java 1.4.2+ baserede produkter
- Google Chrome 26+
- Adobe Acrobat/Reader 7+
Server
- Apache server
- Mac OS X Server 10.5+
- Microsoft Windows Server 2003 SP2+ (efter installation af KB 938397 og KB 968730)
- Microsoft Windows Server 2008+
- Microsoft Exchange 2010 SP3 og højre
- Microsoft Lync 2010 en 2013
- Oracle WebLogic 10.3.1+
Mobile enheder
- iPhone OS 3.0+
- Blackberry 5.0+
- Windows Phone 7+
- Android 2.3+
E-mail klienter
Følgende versioner kan underskrive med SHA-2, forældede versioner kan ofte validere SHA-2 underskrevne e-mails:
- Mozilla Thunderbird 38 og højere;
- Microsoft Outlook 2007 på Windows Vista og højere;
- IBM Notes version 9 og højere.
Baggrund
En solid hashfunktionen giver en stærk modstand mod sammenstød, hvilket betyder at chancen for at matchende input værdier skal være lille. I de foregående år blev der fundet sårbarheder i SHA-1 hvilket gjorde algoritmen mere følsomme over for sammenstød. Det betyder mulighed for matchende inputværdier i et angreb er højere.
For certifikater hashing bliver brugt til at sikre at budskabet er autentisk og vil forblive autentiske. Knækker man SHA-1 algoritmen betyder det at indholdet af en signeret meddelelse eller et certifikat kan ændres, uden at man lægger mærke til det, fordi hash af meddelelsen eller certifikatet forbliver den samme. I SHA-2, efterfølgeren til af SHA-1, har man endnu ikke fundet nogen sårbarheder.
Har du brug for hjælp?
SSL Hjælp
Ring til os
+45 898 719 39
Send os en besked
SSLCheck
SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.
