Kế hoạch chuyển đổi giải thuật băm từ SHA-1 lên SHA-256 (SHA-2)
Theo quy định bảo mật mới của hãng Microsoft, Windows sẽ dừng hỗ trợ các chứng chỉ số SSL dùng giải thuật băm SHA-1 có ngày hết hạn sau 1/1/2017. Đối với các chứng chỉ số Code Signing, thời hạn này là 1/1/2016. Thay vào đó, tất cả các chứng chỉ số SSL và Code Signing phải nâng cấp lên dùng giải thuật băm SHA-256 (SHA-2), SHA-384 hoặc SHA-512.
Sau ngày này, các chứng chỉ số không đạt yêu cầu trên sẽ không được trusted bởi các sản phẩm của Microsoft (Windows, Internet Explorer,...)
Hiện nay, hầu hết các hãng CA lớn trên thế giới đều đã tích hợp sẵn tùy chọn SHA-2 vào danh sách giải thuật băm song song với SHA-1 vốn đã được sử dụng bấy lâu nay. Bên cạnh đó, trong trường hợp khách hàng mua chứng chỉ có ngày hết hạn sau ngày này, chứng chỉ sẽ được tự động dùng giải thuật băm SHA-2 cho dù khách không chọn khi đăng ký.
Tuy nhiên, không phải máy tính nào cũng hỗ trợ SHA-2. Chỉ có các máy tính chạy hệ điều hành Windows XP SP3 trở lên mới hỗ trợ SHA-2. Các máy tính chạy Windows XP SP2 trở về trước cần phải nâng cấp lên SP3, nếu không sẽ nhận được thông báo lỗi và không thể truy cập website.
Hiện nay, hầu hết các trình duyệt web đều hỗ trợ SHA-2. Bạn có thể tham khảo danh sách bên dưới:
- Internet Explorer under Seven and higher
- Internet Explorer 7+ under Vista
- Internet Explorer 7+ under Windows XP SP3
- Firefox 1.5+
- Netscape 7.1+
- Mozilla 1.4+
- Safari from Mac OS X 10.5
- Opera 9.0+
- Konqueror x? (test ok with Konqueror 3.5.7)
- Mozilla products based on NSS 3.8+ (since April 2003)
- Products based on OpenSSL 0.9.8o+
- Java 1.4.2+ based products
- Chrome under Windows Vista and higher
- Chrome under Mac from Mac OS X 10.5
- Chrome under Linux
Thông tin tham khảo:
- https://www.cabforum.org/wp-content/uploads/Baseline_Requirements_V1.pdf
- http://www.symantec.com/page.jsp?id=sha2-transition
- http://www.digicert.com/sha-2-ssl-certificates.htm