距离 CA/B Forum 规定从 2021 年 1 月 1 日之后将停止颁发 SHA1 算法代码签名证书、EV代码签名证书以及停止 SHA1 算法时间戳服务的时间已经过去很久了,但是目前环度网信还是经常会接到咨询 SHA1 算法的代码签名证书。环度网信这里重申一下,现在已经没有 CA 支持签发 sha1 算法的代码签名证书了,范围内都没有了。
那么这些变化将导致什么影响呢?
1、不再支持申请、重颁发或续费 SHA1 算法的代码签名证书和 EV 代码签名证书。
2、新规则生效之前签发的 SHA1 算法代码签名证书和 EV 代码签名证书在有效期内仍可正常使用。
3、新规则生效之后,各CA机构将不再提供 SHA1 算法时间戳服务。
面对这些影响,该如何应对?
1、已申请使用 SHA1 算法证书签名并添加时间戳的软件不受影响并长期有效;
2、当 SHA1 算法时间戳服务关闭后,将无法正常使用该时间戳进行签名,建议升级为 SHA256 算法时间戳;
4、Windows 7 或以下版本的程序需要通过安装补丁方式来适配 SHA256 算法签名,否则应用软件签名将无法被识别。
————————————————
相关资料:
微软宣布由于安全性逐渐下降,决定将不再使用安全哈希算法 SHA-1 :
https://docs.microsoft.com/en-us/lifecycle/announcements/sha-1-signed-content-retired
微软宣布运行旧版 OS版本(Windows 7 SP1,Windows Server 2008 R2 SP1和Windows Server 2008 SP2)的客户必须在设备上安装相关补丁,以引入SHA-2代码签名支持: