执行摘要

自2017年5月9日起，微软已发布针对Microsoft Edge和Internet Explorer 11的更新，这些更新将阻止加载使用SHA-1证书保护的网站，并显示无效证书警告。此更改仅影响链接到Microsoft受信任根程序中的根证书的SHA-1证书，其中终端实体证书或颁发中间证书使用SHA-1。企业或自签名的SHA-1证书不会受到影响，但我们建议所有客户尽快迁移到基于SHA-2的证书。

公告详情

问题参考

有关此问题的更多信息，请参阅以下参考资料：

受影响软件

此公告适用于以下操作系统：

• Windows 7（32位和x64系统）
• Windows Server 2008 R2
• Windows 8.1（32位和x64系统）
• Windows Server 2012 R2
• Windows 10（多个版本）
• Windows Server 2016
• Server Core安装选项

公告常见问题解答

此公告的范围是什么？ 此公告旨在帮助客户评估使用SHA-1哈希算法签名的X.509数字证书的某些应用程序的风险，并建议管理员和证书颁发机构使用SHA-2替代SHA-1作为数字证书签名算法。

这是否是需要微软发布安全更新的安全漏洞？ 不是。微软建议所有客户迁移到SHA-2，不鼓励使用SHA-1作为签名目的的哈希算法，这已不再是最佳实践。

是什么导致此威胁？ 问题的根本原因是SHA-1哈希算法的已知弱点，使其容易受到冲突攻击。此类攻击可能允许攻击者生成与原始证书具有相同数字签名的其他证书。

建议措施

审查微软受信任根程序政策变更

对本公告涵盖的主题感兴趣的客户应查看"Windows对SHA1证书的执行"。

从SHA-1更新到SHA-2

自2016年1月起，证书颁发机构已被禁止颁发新的SHA-1证书。客户应确保其证书颁发机构使用SHA-2哈希算法从其证书颁发机构获取SHA-2证书。

保持Windows更新

所有Windows用户都应应用最新的微软安全更新，以确保其计算机得到尽可能好的保护。

其他信息

支持

美国和加拿大的客户可以从安全支持获得技术支持。国际客户可以从当地的微软子公司获得支持。

免责声明

本公告中提供的信息"按原样"提供，不作任何明示或暗示的担保。