如何应对SHA-1加密算法升级为SHA-256

Posted 2020-07-04

经过权威机构证实，sha1加密算法的不安全性越来越高，sha指纹造假成本越来越低，随即微软、谷歌等IT巨头相继发布弃用sha1加密算法声 明，第三方认证机构自2016年1月1日起，将全面停止签发SHA1算法的数字证书。这一切表明都表明从1995年诞生至今的SHA1算法将被SHA- 256所取代。

对于SSL证书和代码签名证书用户，从颁发时间点上来说，一般2014年12月之前颁发的数字证书很有可能使颁发的签名指纹为sha1加密算法的证 书，2015年1月之后，一般颁发的签名指纹为sha256加密算法的证书，具体您可以通过查看自己公司所使用的证书信息来确定。例如SSL证书,您只需 要在浏览器内点开那个安全锁，查看证书内容，找开证书内容如下图就是sha1签名算法：

  

 

针对此次SHA-1升级到SHA-256加密算法，我们的数字证书用户应该做好哪些应对策略呢？对于SSL证书用户，服务器运维人员应立即弃用老版 本的 SHA-1证书，尽管Windows Xp 和IE 6还存在少部分用户，但这是非常少的一部分， 自古有云:"两害相权取其轻",我们不能因为这极少部分的用户，而且影响到绝大部分用户体验。实际现在用谷歌浏览器打开sha1加密算法的https网页 时，正常的安全锁图标变为如下非正常的空白纸图标，并提示“此网站使用了安全系统较低的安全配置（SHA-1签名），因此您的连接可能不具有私密性”，如 下图：