由于sha1签名算法进入淘汰阶段,逐渐弃用中,sha1升级为sha2是大势所趋。
微软已经正式发布sha1弃用策略: http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx
谷歌没多久也发布sha1的日落计划: http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1.html
下面我们来关注几个重要的日子:
2014年9月,2017后依然未过期的sha1证书,chrome将给予告警
2014年12月,2016年6月1日以后过期的sha1证书,chrome给予告警
2015年2月,任意2016年以后仍生效的sha1证书,chrome给予告警。
2016年1月,微软将不信任不带时间戳的sha1的代码签名。
2017年1月,微软和Mozilla都将不再信任sha1的ssl证书。
针对sha2的升级策略,我们易维信做出如下方案:
在2014年12月份,默认签发sha2的证书,在此期间,如果不是2017年前仍生效的证书,可选择重颁发sha1证书。2016年1月1日以后,不再发出任何sha1证书