Informacje dotyczące wymagania funkcji wyznaczania wartości skrótu SHA-2
Wszystkie certyfikaty SSL używające starej funkcji SHA-1 wymagają natychmiastowego ponownego wygenerowania kluczy, aby mogły używać funkcji wyznaczania skrótu SHA-2. Funkcja SHA-1 jest potencjalnie niebezpieczna, co podważa sens stosowania certyfikatów SSL.
Dodatkowe informacje
Certyfikaty SSL kodują (szyfrują) komunikację między serwerem witryny a przeglądarką osoby odwiedzającej w taki sposób, że tylko serwer i przeglądarka „rozumieją” przesyłane przez siebie komunikaty. Dzięki temu inni użytkownicy nie mogą podglądać konwersacji i zdobywać informacji, które nie powinny trafić w niepowołane ręce, takich jak numer karty kredytowej czy numer PESEL. To szyfrowanie jest wykonywane przez użyciu funkcji wyznaczania wartości skrótu.
Oprócz szyfrowania różnych informacji, certyfikaty podpisywania kodu używają tej samej funkcji wyznaczania wartości skrótu do „podpisywania” kodu wykonywalnego, gdy zostanie on wydany przez dewelopera. Jeśli kod zostanie zmieniony, podpis z wartością skrótu nie będzie działał, a użytkownik, który spróbuje uruchomić ten kod, zostanie ostrzeżony.
Funkcja wyznaczania wartości skrótu powszechnie używana przed 23 grudnia 2013 roku nosiła nazwę SHA-1; była ona używana od czasu opracowania certyfikatów SSL w połowie lat 90. dwudziestego wieku.
Jednak wraz ze wzrostem mocy obliczeniowej komputerów coraz bardziej prawdopodobne jest odszyfrowanie informacji zaszyfrowanych za pomocą funkcji wyznaczania skrótu SHA-1. Z tego powodu firma Microsoft® wprowadza nowe wytyczne branżowe, zgodnie z którymi wszystkie Urzędy certyfikacji, w tym firma GoDaddy, zaczną używać funkcji SHA-2 jako domyślnej funkcji wyznaczania wartości skrótu. W tę inicjatywę jest też zaangażowana firma Google. Jej przeglądarka Chrome® będzie ostrzegać osoby odwiedzające o problemach dotyczących certyfikatów używających funkcji SHA-1.
Czy mój certyfikat musi używać funkcji SHA-2?
Nowe certyfikaty, które wystawiamy z datami wygaśnięcia późniejszymi niż 1 stycznia 2017 roku, mogą używać wyłącznie funkcji SHA-2.
Certyfikaty podpisywania kodu, których data ważności przypada po 31 grudnia 2015 roku, muszą także używać algorytmu SHA-2 za wyjątkiem certyfikatów podpisywania kodu SHA-1, których można nadal używać do podpisywania plików przeznaczonych dla systemu Windows Vista i starszych wersji. Więcej informacji można znaleźć w artykule firmy Microsoft Egzekwowanie przez system Windows podpisywania kodu Authenticode i oznaczania znacznikami czasu.
Certyfikaty, które zostały już wystawione, nie muszą używać funkcji SHA-2, ale jest to zdecydowanie zalecane. Rozpoczęcie korzystania z tych funkcji stanowi przyszłościowe rozwiązanie i zwiększa bezpieczeństwo serwera. Funkcję wyznaczania wartości skrótu można w prosty sposób zmienić na SHA-2, ponownie generując klucze certyfikatu. Aby uzyskać więcej informacji, zobacz Ponowne tworzenie klucza certyfikatu.