I certificati SHA-2 sono considerati obsoleti o attuali?

Naviga le tue risposte
14

Una guida su questo sito su come fare una richiesta di firma certificato (CSR) decente dice che dovrei utilizzare i certificati SHA-2 per proteggere un server web HTTPS.

I certificati SHA-2 sono considerati obsoleti o aggiornati per i certificati del sito Web TLS / SSL (a partire da 20 th novembre 2015)?

Se lo sono, cosa dovrei usare per proteggere TLS / SSL / HTTPS sul mio server web Apache2 (a partire da 20 th novembre 2015)?

E dove posso trovare una fonte autorevole di informazioni aggiornate sulle obsolete di questo tipo?

    
posta leeand00 20.11.2015 - 17:08
fonte

2 risposte

41

"SHA-2" è il nome in codice tradizionale per una famiglia di sei funzioni che include SHA-256 e SHA-512. Queste funzioni sono considerate completamente corrette e attuali e non obsolete.

è una nuova famiglia di funzioni chiamata SHA-3, ma è stata formalmente definita solo molto recentemente e nessuno ancora li supporta. Inoltre, SHA-3 non è formalmente definito come sostitutivo per SHA-2, ma come alternativo .

Tutta la confusione attuale riguarda una vecchia funzione chiamata "SHA-1", non "SHA-2" (e la maggior parte del panico è molto esagerata).

    
risposta data 20.11.2015 - 17:18
fonte
20

SHA-2 è attualmente buono. È SHA-1 che è deprecato :

Due to the insecure nature of the SHA1 algorithm, it is good practice to replace SHA1 certificates with SHA2 certificates as soon as possible. (Check SHA2 compatibility first). But for practical reasons, the process will generally need to be staggered to occur within the critical dates promoted by Microsoft and other vendors.
Your plan should replace SHA1 SSL certificates in the following order:

  • certificates with an expiry date of 1 January 2017 or later.
  • certificates with an expiry date between 1 June 2016 and 31 December 2016, inclusive.
  • certificates with an expiry date before 1 June 2016.

Nessuna data di scadenza è stata determinata per SHA-2.

    
risposta data 20.11.2015 - 17:18
fonte

Leggi altre domande sui tag

SQL injection può bypassare l'accesso ma non eliminare la tabella Come consentire agli utenti di eseguire in modo sicuro codice JVM arbitrario su un server?