SHA-1 deprecazione e certificati autofirmati

1

Sono confuso riguardo alla deprecazione SHA-1.

Utilizziamo certificati autofirmati firmati con SHA1 e la scadenza è successiva al 1 ° gennaio 2017.

Secondo questo blog: link

CAs must stop issuing new SHA1 by 1 January 2016. … For SSL certificates, Windows will stop accepting SHA1 end-entity certificates by 1 January 2017. This means any time valid SHA1 SSL certificates must be replaced with a SHA2 equivalent by 1 January 2017.

I certificati autofirmati cesseranno di funzionare il 1 ° gennaio 2016 o smetteranno di funzionare il 1 ° gennaio 2017?

Aggiunto

Giusto per chiarire: se emetterò certificati autofirmati firmati con SHA1 dopo il 1 ° gennaio 2016, non verrà accettato dai browser. Corretto?

Aggiunti 2

Posso lavorare con certificati autofirmati. I browser avvisano del problema di attendibilità, ma permettimi di connetterti (guarda le immagini di seguito).

Domanda se emetteremo certificati autofirmati firmati con SHA1 dopo il 1 ° gennaio 2016 continueranno a funzionare allo stesso modo?

    
posta Michael 18.08.2015 - 17:16
fonte

4 risposte

3

L'articolo a cui è collegato è pertinente solo per le CA che partecipano al Programma CA per la radice di Windows, non per i certificati autofirmati.

I certificati autofirmati funzionano solo se li inserisci come root CA attendibile nel sistema operativo o nel browser. Questi continueranno a funzionare a tempo indeterminato.

I certificati del programma CA di Windows root firmati con SHA1 vanno bene fino al 1 ° gennaio 2017.

1 gennaio 2016 è l'ultimo giorno di emissione che i certificati SHA1 saranno accettati. 1 gennaio 2017 è quando i certificati SHA1, quando sono stati emessi, diventano non validi.

Questo è per i certificati SSL che non sono su Windows Vista e Windows Server 2008. I certificati di firma del codice hanno una programmazione diversa.

(Grazie a @ bayo15 per i commenti sui certificati autofirmati diversi).

    
risposta data 18.08.2015 - 17:30
fonte
2

In risposta alla parte Aggiunti 2 .

Sì. Sarà lo stesso dopo il 1 ° gennaio 2016 e anche dopo il 1 ° gennaio 2017. Puoi sempre fare clic su questo avviso e dire al browser di ignorarlo (è un po 'più difficile con HSTS, ma questa è un'altra storia).

    
risposta data 19.08.2015 - 11:12
fonte
0

Dovrai sostituirlo prima di gennaio 2017 con un SHA-2 affinché i client Windows / browser accettino il certificato.

    
risposta data 18.08.2015 - 17:27
fonte
0

I certificati autofirmati con firma SHA-1 continueranno a funzionare nel senso che il traffico http tra client e server continuerà a essere crittografato.

I browser hanno sempre contrassegnato i certificati autofirmati perché il certificato non è stato firmato digitalmente da un'autorità di certificazione attendibile.

A partire da giugno 2016 ora Internet Explorer contrassegna anche i certificati emessi da un'autorità di certificazione attendibile ma firmati solo con l'algoritmo SHA-1. Vedere l'articolo di TechNet su Applicazione Windows della firma e timestamp del codice Authenticode

Nel tuo caso continuerai a vedere gli stessi avvisi nel browser.

    
risposta data 13.01.2016 - 14:54
fonte

Leggi altre domande sui tag