SSL 证书 帮助

有关要求使用 SHA-2 哈希函数的信息

使用旧版 SHA-1 的所有 SSL 证书只需更新密钥就能立即使用 SHA-2 哈希函数。SHA-1 存在潜在安全隐患,可能会导致 SSL 证书的保护失效。

附加信息

SSL 证书会对您网站的服务器与访问者的浏览器之间的通讯进行加密,只有通讯双方才能知道通讯的内容。这种加密可以防止其他人窃听会话内容或获取您不希望公开的信息(一般是像信用卡号和身份证号这样的安全信息)。这种加密就是使用哈希函数实现的。

虽然会对不同信息进行加密,但代码签名证书还会在开发人员发布可执行代码时使用相同的哈希函数对其进行“签名”。如果代码遭到篡改,经过哈希运算的签名就无法通过验证,用户在尝试运行该代码时便会收到警告提示。

我们在 2013 年 12 月 23 日之前最常使用的哈希函数被称为 SHA-1;它早在二十世纪 90 年代中期 SSL 证书首次出现时就已开始使用了。

不过,随着计算机性能的提升,破解经过 SHA-1 哈希加密的信息的可能性正变得越来越高。因此,Microsoft® 正在推动新的行业指导方针,即要求所有证书颁发机构(包括我们)开始使用 SHA-2 作为默认的哈希函数。Google 也参与其中,旗下的 Chrome® 浏览器会提醒访问者使用 SHA-1 证书存在安全隐患。

我的证书必须使用 SHA-2 吗?

经由我们颁发且到期日期在 2017 年 1 月 1 日之后的新证书仅可使用 SHA-2。

到期日期在 2015 年 12 月 31 日之后的代码签名证书也必须使用 SHA-2,例外情况是 SHA-1 代码签名证书可能会继续用于为 Windows Vista 及 Windows 早期版本上的文件签名。有关更多信息,请参阅 Microsoft 文章 Windows Enforcement of Authenticode Code Signing and Timestamping(Windows 验证码签名和时间戳处理策略)。

已经颁发的证书并不需要开始使用 SHA-2,但我们强烈建议您使用。现在开始使用可以为将来做好准备,并且还能增强服务器的安全。只需为您的证书更新密钥即可将哈希函数转换至 SHA-2。有关详细信息,请参阅为我的证书重新生成密钥