Microsoft Security Advisory 4010323
在Microsoft Edge和Internet Explorer 11中弃用SSL/TLS证书的SHA-1算法
发布日期: 2017年5月9日
版本: 1.0
执行摘要
自2017年5月9日起,微软发布了Microsoft Edge和Internet Explorer 11的更新,将阻止受SHA-1证书保护的网站加载,并显示无效证书警告。此更改仅影响链接到Microsoft可信根计划中根证书的SHA-1证书,其中终端实体证书或颁发中间证书使用SHA-1。企业或自签名的SHA-1证书不会受到影响,但我们建议所有客户尽快迁移到基于SHA-2的证书。更多信息请参阅《Windows对SHA1证书的强制执行》。
更多信息请参阅Microsoft知识库文章4010323。
公告详情
问题参考
有关此问题的更多信息,请参阅以下参考:
| 参考类型 | 参考内容 |
|---|---|
| 一般信息 | Windows对SHA1证书的强制执行 |
| 一般信息 | SHA-1弃用倒计时 |
| 技术要求 | 防范弱加密算法 |
受影响软件
本公告适用于以下操作系统:
-
Windows 7
- Windows 7 32位系统 Service Pack 1
- Windows 7 基于x64的系统 Service Pack 1
-
Windows Server 2008 R2
- Windows Server 2008 R2 基于x64的系统 Service Pack 1
- Windows Server 2008 R2 基于Itanium的系统 Service Pack 1
-
Windows 8.1
- Windows 8.1 32位系统
- Windows 8.1 基于x64的系统
-
Windows Server 2012 R2
- Windows Server 2012 R2
-
Windows 10
- Windows 10 32位系统
- Windows 10 基于x64的系统
- Windows 10版本1511 32位系统
- Windows 10版本1511 基于x64的系统
- Windows 10版本1607 32位系统
- Windows 10版本1607 基于x64的系统
-
Windows Server 2016
- Windows Server 2016 基于x64的系统
-
服务器核心安装选项
- Windows Server 2008 R2 基于x64的系统(服务器核心安装)
- Windows Server 2012 R2(服务器核心安装)
- Windows Server 2016 基于x64的系统(服务器核心安装)
公告常见问题解答
此公告的范围是什么?
此公告旨在帮助客户评估使用SHA-1哈希算法签名的X.509数字证书的某些应用程序的风险,并建议管理员和证书颁发机构使用SHA-2替代SHA-1作为数字证书签名算法。
这是否是需要微软发布安全更新的安全漏洞?
不是。微软建议所有客户迁移到SHA-2,使用SHA-1作为签名哈希算法已被弃用,不再是最佳实践。尽管这不是微软产品中的漏洞,但微软发布此公告是为了帮助澄清客户面临的实际风险。
什么导致了这种威胁?
问题的根本原因是SHA-1哈希算法的已知弱点,使其容易受到碰撞攻击。此类攻击可能允许攻击者生成与原始证书具有相同数字签名的额外证书。不建议在需要抵抗这些攻击的特定用途中使用SHA-1证书。在微软,安全开发生命周期要求微软不再在微软软件中默认使用SHA-1哈希算法。有关SHA-1碰撞弱点的更多信息,请参阅SHAttered:首次完整SHA-1碰撞。
什么是数字证书?
在公钥密码学中,其中一个密钥(称为私钥)必须保密。另一个密钥(称为公钥)旨在与世界共享。但是,密钥的所有者必须有一种方式告诉世界该密钥属于谁。数字证书提供了一种实现此目的的方法。数字证书是一种用于认证个人、组织和计算机的在线身份电子凭证。数字证书包含公钥以及相关信息——谁拥有它、可用于什么用途、何时过期等。更多信息请参阅理解数字证书。
数字证书的目的是什么?
数字证书主要用于验证个人或设备的身份、认证服务或加密文件。通常,除了偶尔显示证书已过期或无效的消息外,无需考虑证书。在这种情况下,应按照消息中的说明操作。
什么是证书颁发机构(CA)?
证书颁发机构是颁发证书的组织。它们建立并验证属于人员或其他证书颁发机构的公钥的真实性,并验证请求证书的个人或组织的身份。
建议措施
查看Microsoft可信根计划政策变更
对本公告涵盖的主题感兴趣的客户应查看《Windows对SHA1证书的强制执行》。
从SHA-1更新到SHA-2
自2016年1月起,证书颁发机构已被禁止颁发新的SHA-1证书。客户应确保其证书颁发机构使用SHA-2哈希算法从其证书颁发机构获取SHA-2证书。要使用SHA-2证书签署代码,请参阅《Windows对SHA1证书的强制执行》中关于此主题的指南。
操作影响: 较旧的基于硬件的解决方案可能需要升级以支持这些新技术。
保持Windows更新
所有Windows用户应应用最新的Microsoft安全更新,以确保其计算机得到尽可能好的保护。如果不确定软件是否是最新的,请访问Windows Update,扫描计算机以查找可用更新,并安装任何提供的高优先级更新。如果启用了自动更新,更新将在发布时交付给您,但您必须确保安装它们。
其他信息
反馈
您可以通过填写Microsoft帮助和支持表单、客户服务联系我们提供反馈。
支持
美国和加拿大的客户可以从安全支持获得技术支持。更多信息请参阅Microsoft帮助和支持。
国际客户可以从当地的Microsoft子公司获得支持。更多信息请参阅国际支持。
Microsoft TechNet安全提供有关Microsoft产品中安全的更多信息。
免责声明
本公告中提供的信息"按原样"提供,不作任何担保。Microsoft否认所有明示或暗示的担保,包括适销性和特定用途适用性的担保。在任何情况下,Microsoft Corporation或其供应商都不承担任何损害赔偿责任,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使Microsoft Corporation或其供应商已被告知可能发生此类损害。有些州不允许排除或限制附带或后果性损害的责任,因此上述限制可能不适用。
修订版本
- V1.0(2017年5月9日):公告发布。
页面生成时间:2017-05-08 17:41-07:00。