微软(Microsoft)上周概述了它将使用的时间表,取消对使用SHA-1证书进行安全通信的网站的浏览器支持,这是一项旨在消除互联网上较弱加密技术的全互联网计划的一部分。
随着交付Windows 10周年更新——预计将在今年夏天发布——IE (Internet Explorer)和Edge将停止显示对SHA-1证书进行回复的网站的锁定图标。这个图标表明浏览器和网站之间的比特是加密的,因此不容易被监视。
但微软和其他浏览器制造商——包括谷歌和Mozilla——已经宣布SHA-1证书不安全,因为它们的加密不够强大。最初,浏览器构建者同意在2017年1月1日停止信任sha -1签名的证书,但去年的新研究促使他们考虑将2016年7月1日的最后期限。
安全研究人员已经证明,网络罪犯可以伪造基于sha -1的证书,然后利用这些证书欺骗用户,让他们相信一个假冒网站是真的。
在2017年2月14日补丁发布之前,微软的IE和Edge实际上不会屏蔽使用SHA-1证书的网站。从今年夏天移除锁图标到明年,用户将能够浏览这些网站,即使它们将被标记为不安全。
在Windows 10中,Edge和IE11的第一阶段更新将与该操作系统的周年更新一起出现,同时在Windows 7和Windows 8.1中分别更新IE11。微软没有透露是否也会更新IE9,这是Windows Vista唯一支持的公司浏览器。这个遗漏可能是由于Vista即将于2017年4月退休。
谷歌和Mozilla也承诺在2017年1月1日之前放弃对SHA-1的支持,但双方都表示,他们可能会加快对SHA-1的支持,直到2016年7月1日。
微软将“很快”更新其Windows 10 Insider预览版周五的博客,并对锁图标进行了更改。
雷蒙德,洗。,该公司已出版技术信息在这里它计划结束对sha -1签名证书的支持。
这篇题为“微软将在Windows 10夏季升级时开始关闭SHA-1加密系统”的报道最初是由《计算机世界》 .