¿Cómo afectará la desaprobación de SHA1 a las raíces de SHA1 en los almacenes de confianza del sistema operativo / navegador?

Question

¿Cómo afectará la desaprobación de SHA1 a las raíces de SHA1 en los almacenes de confianza del sistema operativo / navegador?

#1 de StackzOfZtuff (3 votos)

4

Entiendo que la política de desaprobación de SHA1 se aplica a los certificados e intermediarios de entidades finales de SHA2 de CA a partir de enero de 2017, pero ¿cómo afectará esta política a los certificados raíz reales en los almacenes de confianza del sistema operativo / navegador? ¿Se descargarán los SHA1 a favor de las raíces de SHA2? Sé que una gran cantidad de CA ahora van SHA2 hasta la raíz, pero me pregunto si MS y los demás planean mantener SHA1 en las tiendas de fideicomiso durante un período específico de tiempo.

tls certificates certificate-authority sha

pregunta user53029 23.11.2014 - 20:40

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls certificates certificate-authority sha

¿Dónde puede fallar 2 factores en Google? ¿Verificación de dos factores sin un teléfono móvil?

score 3 · Accepted Answer

(Edite el 2014-11-25: Se rediseñó y se redujo gradualmente). Respuesta breve: Por lo que puedo decir, serán eliminados, no enrojecidos fuera . (Al menos por Microsoft). Los antiguos certificados raíz de SHA1 caducarán regularmente y Microsoft ya no aceptará NUEVO Raíces de SHA1 a partir de 2016. Supongo que los antiguos se mantendrán, ya que cumplieron con los requisitos Directrices cuando son aceptadas en su programa de CA raíz. - Las otras 3 organizaciones que observé no tenían límites en las raíces de SHA1.

Microsoft
Microsoft ya no aceptará SHA1 para sus CA raíz después de finales de 2015.
enlace

Digest Algorithms
  SHA1 (hasta el 1 de enero de 2016)
  SHA2 (SHA256, SHA384, SHA512)

Hicieron lo mismo con MD5 hace un tiempo.
enlace

El algoritmo hash debe ser al menos SHA1. No se aceptan hash MD2, MD4 o MD5.

CABForum
CABForum no permite MD5 en las raíces a partir de 2010. Pero SHA-1 todavía está permitido para CA raíz. (Entonces, si bien no hay ninguna razón de seguridad para exigir ningún algoritmo de compendio, la autoprotección de la entidad emisora de certificados raíz demuestra que de hecho ya se le ha encomendado). uploads / BRv1.2.3.pdf "> enlace

Los certificados DEBEN cumplir con los siguientes requisitos para el tipo de algoritmo y el tamaño de la clave.
  Algoritmo de resumen: período de validez que comienza en o antes del 31 de diciembre de 2010:   MD5 (NO RECOMENDADO), SHA-1, SHA-256, SHA-384 o SHA- 512
  Algoritmo de resumen: período de validez que comienza después del 31 de diciembre de 2010 SHA-1 *, SHA-256, SHA-384 o SHA-512

Apple
No se pudo encontrar una regla contra SHA1 allí.
Apple no menciona SHA2 en sus requisitos de CA raíz. En su lugar, requieren una huella digital SHA1 en el formulario de solicitud.
enlace Pero dado que ya hay certificados SHA-256 en su tienda, esto parece ser solo un detalle formal del formulario de solicitud.
Consulte los certificados CA raíz incluidos en Yosemite aquí: enlace

Mozilla
No se pudo encontrar una regla contra SHA1 allí.
Mozilla requiere una huella dactilar SHA1 en el formulario de solicitud. enlace
Y, al igual que con Apple: pero como ya hay certificados SHA-256 dentro de su tienda, este parece ser solo un detalle formal del formulario de solicitud.
Vea Mozilla incluye certificados CA raíz aquí: enlace