微软旗下的浏览器现已正式停止支持SHA-1证书
去年年初全球数字证书颁发机构就已停止签发基于SHA-1算法的SSL证书,但仍有不少网站使用此类证书。
停止签发的原因在于该算法已经过时且已经可以被破译,因此从安全性角度考虑网络连接不应在使用SHA-1。
2005年中国的密码学专家王小云就已破译SHA-1算法,2012年时其他专家预测碰撞需要花费200万美元。
事实上在2015年下半年就有科学团队仅花费10余天就破译了算法,而破译的总成本仅为7.5 ~ 12万美元。
随着计算机技术的发展破译该算法所消耗的时间与成本都在下降,因此伪造SHA-1算法证书将会成为可能。
因此基于安全考虑除了全球的数字证书颁发机构联合停止签发该证书外,主流浏览器也在停止支持此类证书。
自2017年2月14日起微软Microsoft Edge和IE浏览器都正式停止支持基于SHA-1算法签发的证书。
而此前Google Chrome和Mozilla Firefox也已经停止信任此类证书,用户访问时浏览器会直接进行拦截。
不过微软公司称新政策仅仅只会影响到使用此类证书并且连接Windows系统受信任的ROOT CA网站等。
对于手动安装企业SHA-1证书或者自签名的SHA-1证书以及第三方程序进行客户端验证等都不会受到影响。