SHA-1 的死亡时间已经到来

两味真火
 两味真火
发布于 2017年01月20日
收藏 7

主要浏览器开发商正在竞相推动网站用SHA-2替代SHA-1算法签名证书。从1月24日发布的Firefox 51起,Mozilla将成为第一家对SHA-1证书发出警告的主要浏览器开发商。SHA-1算法签名的证书已经不再安全,它容易受到碰撞攻击(collision attacks)和伪造证书。主要浏览器开发商都制定了淘汰SHA-1证书的计划。研究人员扫描了Alexa Top 100万网站的SHA-2合规情况,发现只有536家网站不合规。

稿源:solidot

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:SHA-1 的死亡时间已经到来
加载中

最新评论(4

shitalpig
shitalpig
sha2更加卡,浏览器没必要搞什么加密
eechen
eechen
阿里云Symantec免费证书:
https://common-buy.aliyun.com/?commodityCode=cas#/buy
免费数字证书,最多保护一个明细子域名,不支持通配符,一个阿里云帐户最多签发20张免费证书.
eechen
eechen
OpenSSL默认签发的证书使用的是SHA-1签名(sha1WithRSAEncryption).
使用SHA-2(sha256/sha512)创建自签发证书:
openssl dgst --help 可见 -sha256 to use the sha256 message digest algorithm (消息摘要算法)
openssl req -x509 -newkey rsa:2048 -keyout a.com.key -out a.com.crt -days 3650 -nodes -sha256 -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=company/OU=section/CN=www.a.com"
openssl x509 -noout -text -in a.com.crt 可见 Signature Algorithm: sha256WithRSAEncryption

如果你购买的是CA签名的证书,你需要提交一个新的证书请求,
让你的CA颁发一个使用SHA-2签名的新证书,使用你现有的私钥:
openssl req -new -sha256 -key a.com.key -out a.com.csr
其中-sha256标志会使用SHA-2签名CSR.
回去干活
回去干活
并不是不愿意放弃sha1,而且是xp用户大家都不愿意放弃.
返回顶部
顶部