Інформація про необхідність хеш-функції SHA-2
Усі сертифікати SSL, які використовують стару функцію SHA-1, слід негайно створити заново для використання хеш-функції SHA-2. Функція SHA-1 потенційно небезпечна, що позбавляє сенсу сертифікат SSL.
Додаткова інформація
Сертифікати SSL перемішують (або шифрують) дані, якими обмінюються сервер вашого веб-сайту і браузер відвідувача, таким чином, що дані однієї сторони зрозумілі тільки іншій стороні і нікому іншому. Таке втручання усуває небезпеку стороннього підслуховування ваших розмов і отримання інформації, яку ви не хочете розголошувати, наприклад номерів кредитних карт. Шифрування виконується за допомогою хеш-функції.
Хоча сертифікати підпису коду шифрують іншу інформацію, вони використовують таку саму хеш-функцію для «підписування» виконуваного коду, коли розробник публікує його. Якщо код був несанкціоновано змінений, хеш-підпис уже не відповідатиме йому, і користувач буде попереджений, коли спробує запустити цей код.
До 23 грудня 2013 р. найчастіше використовувалася хеш-функція SHA-1; вона активно застосовувалася з моменту розробки сертифікатів SSL в середині 1990-х рр.
Проте в міру зростання потужності комп'ютерів дешифрування інформації, захищеної функцією SHA-1, стає дедалі ймовірнішим. З цієї причини корпорація Microsoft® просуває галузеві рекомендації з обов'язкового переходу всіх центрів сертифікації, включно з нами, на використання SHA-2 як стандартної хеш-функції. Google також бере участь у цьому русі, і тому браузер Chrome® почав попереджати відвідувачів про проблеми з безпекою при використанні сертифікатів з SHA-1.
Чи повинен мій сертифікат використовувати SHA-2?
Наші нові сертифікати, термін дії яких закінчується після 1 січня 2017 р., можуть використовувати тільки SHA-2.
Сертифікати підпису коду, дія яких закінчується після 31 грудня 2015 р., також повинні використовувати SHA-2, за винятком того, що дозволяється використання сертифікатів підпису коду SHA-1 для підписування файлів для використання у Windows Vista й раніших версіях Windows. Додаткову інформацію можна знайти у статті Microsoft Windows Enforcement of Authenticode Code Signing and Timestamping.
Уже випущені сертифікати не потребують використання SHA-2, але ми настійно рекомендуємо використовувати цю функцію. Це дасть змогу уникнути проблем у майбутньому та зміцнить безпеку вашого сервера. Щоб перейти до хеш-функції SHA-2, можна просто повторити створення сертифіката. Додаткові відомості див. тут: Повторне створення ключа для сертифіката.