SHA-1 废弃路线图的最新信息

2015年11月，我们发布了包括最初阻止SHA-1签名TLS证书时间表在内的SHA-1废弃信息。在此，我们提供更详细的内容。

自Windows 10周年更新起，Microsoft Edge和Internet Explorer将不再信任受SHA-1证书保护的网站，并从这些网站的地址栏中移除锁图标。这些网站将继续运行，但不再被视为受信任站点。此更改将包含在即将发布的Windows Insider Preview版本中，并计划于今年夏季广泛部署。到2017年年中，Microsoft Edge和Internet Explorer将阻止SHA-1签名的TLS证书。

此更改适用于Windows 10上的Microsoft Edge以及Windows 7、Windows 8.1和Windows 10上的Internet Explorer 11，仅影响参与微软根证书计划的CA颁发的证书。Microsoft Edge和Internet Explorer 11的F12开发者工具控制台将为网站管理员和开发者提供额外的详细信息。

有关微软SHA-1废弃综合计划的更多信息，请参阅Technet。

测试阻止SHA-1签名TLS证书

通过在命令提示符（管理员）中输入以下命令，可以启用对使用的SHA-1证书的日志记录。此命令不会阻止使用SHA-1签名的TLS证书，但会在指定目录中记录证书日志。

首先创建用于获取日志的目录，并设置适当的权限（通用访问）：

1
2
3
4
5
6

set LogDir=C:\Log
mkdir %LogDir%
icacls %LogDir% /grant *S-1-15-2-1:(OI)(CI)(F)
icacls %LogDir% /grant *S-1-1-0:(OI)(CI)(F)
icacls %LogDir% /grant *S-1-5-12:(OI)(CI)(F)
icacls %LogDir% /setintegritylevel L

启用证书日志：

1
2

Certutil -setreg chain\WeakSignatureLogDir %LogDir%
Certutil -setreg chain\WeakSha1ThirdPartyFlags 0x80900008

测试完成后，使用以下命令删除设置：

1
2

Certutil -delreg chain\WeakSha1ThirdPartyFlags
Certutil -delreg chain\WeakSignatureLogDir

有关上述命令以及对弱加密算法的其他保护的更多信息，请参阅：弱加密算法保护。

– Alec Oot, 高级项目经理 – Mike Stephens, 高级项目经理

2016/7/24 更新

上述针对SHA-1保护网站的锁图标更改现已在所有受支持版本的Microsoft Edge和Internet Explorer 11中可用。这些更改包含在以下更新中：

• Windows 10: KB3163912
• Windows 10 Version 1511: KB3172985
• Windows 7 and Server 2008 R2: KB3170106 and KB3172605
• Windows 8.1 および Server 2012 R2: KB3170106 and KB3172614

最终更新日期：2017年2月22日 9:51 PM（美国时间）