SHA-1哈希算法在微软根证书程序中的应用

发布日期：2016年1月12日
更新日期：2017年3月14日
版本：2.0

执行摘要

2016年11月，微软发布了Internet Explorer和Microsoft Edge的更新，将某些SHA-1签名文件标记为不受信任的功能进行了回退。此更改在以下更新中被撤销：

• KB3197869 - 2016年11月Windows 7 SP1和Windows Server 2008 R2 SP1月度质量汇总预览
• KB3197875 - 2016年11月Windows 8.1和Windows Server 2012 R2月度质量汇总预览
• KB3198585 - Windows 10累积更新：2016年11月8日
• KB3198586 - Windows 10版本1511累积更新：2016年11月8日
• KB3200970 - Windows 10版本1607和Windows Server 2016累积更新：2016年11月8日

这是微软整体战略的一部分，旨在将我们的SHA-1工作与更广泛的安全行业保持一致。有关更多信息，请参阅《Windows对SHA1证书的执行》。

公告详情

问题参考

有关此问题的更多信息，请参阅以下参考：

建议措施

查看微软根证书程序策略变更

对本公告涵盖主题感兴趣的客户应查看《Windows对SHA1证书的执行》。

从SHA-1更新到SHA-2

证书颁发机构不应再使用SHA-1哈希算法对新生成的证书进行签名。客户应从证书颁发机构获取SHA-2证书，并使用该证书对代码进行签名。要使用SHA-2证书对代码进行签名，请参阅《Windows对Authenticode代码签名和时间戳的执行》中的相关指南。

操作影响：较旧的基于硬件的解决方案可能需要升级以支持这些新技术。

保持Windows更新

所有Windows用户都应应用最新的Microsoft安全更新，以确保其计算机得到最大程度的保护。如果您不确定软件是否为最新版本，请访问Windows Update，扫描计算机以查找可用更新，并安装任何提供的高优先级更新。如果您启用了自动更新，则更新在发布时会交付给您，但您必须确保安装它们。

其他信息

反馈

您可以通过填写Microsoft帮助和支持表格、客户服务联系我们提供反馈。

支持

美国和加拿大的客户可以从安全支持获得技术支持。有关更多信息，请参阅Microsoft帮助和支持。 国际客户可以从当地的Microsoft子公司获得支持。有关更多信息，请参阅国际支持。 Microsoft TechNet Security提供有关Microsoft产品安全性的其他信息。

免责声明

本公告中提供的信息"按原样"提供，不作任何明示或暗示的担保。Microsoft否认所有明示或暗示的担保，包括适销性和特定用途适用性的担保。在任何情况下，Microsoft Corporation或其供应商均不对任何损害承担任何责任，包括直接、间接、偶然、后果性、商业利润损失或特殊损害，即使Microsoft Corporation或其供应商已被告知可能发生此类损害。某些州不允许排除或限制对后果性或偶然性损害的责任，因此上述限制可能不适用。

修订记录

• V1.0（2016年1月12日）：公告发布。
• V2.0（2017年3月14日）：重新发布公告，宣布本公告中描述的更改已于2016年11月撤销。这仅是信息性更改。

页面生成时间：2017-03-09 14:08-08:00。