Desaprobación SHA-1 y certificados autofirmados

1

Estoy confundido con respecto a la desaprobación de SHA-1.

Utilizamos certificados autofirmados firmados con SHA1 y el vencimiento es posterior al 1 de enero de 2017.

Según este blog: enlace

  

Las CA deben dejar de emitir el nuevo SHA1 antes del 1 de enero de 2016.   ...   Para los certificados SSL, Windows dejará de aceptar certificados de entidad final SHA1 a partir del 1 de enero de 2017. Esto significa que en cualquier momento los certificados SSL de SHA1 válidos deben reemplazarse con un equivalente de SHA2 a partir del 1 de enero de 2017.

¿Nuestros certificados autofirmados dejarán de funcionar el 1 de enero de 2016 o dejarán de funcionar el 1 de enero de 2017?

Agregado

Solo para aclarar: si emitiré certificados autofirmados firmados con SHA1 después del 1 de enero de 2016, no será aceptado por los navegadores. Correcto?

Añadido 2

Puedo trabajar con certificados autofirmados. Los navegadores advierten sobre problemas de confianza, pero me permiten conectarme (vea las imágenes a continuación).

Pregunta si emitiremos certificados autofirmados firmados con SHA1 después del 1 de enero de 2016 ¿seguirá funcionando de la misma manera?

    
pregunta Michael 18.08.2015 - 17:16
fuente

4 respuestas

3

El artículo al que se vinculó solo es relevante para las entidades emisoras que participan en el programa raíz de Windows, y no para los certificados autofirmados.

Los certificados autofirmados solo funcionan si los coloca como una raíz CA confiable en el sistema operativo o el navegador. Estos continuarán trabajando indefinidamente.

Los certificados del programa Windows Root CA firmados con SHA1 son válidos hasta el 1 de enero de 2017.

El 1 de enero de 2016 es el último día de emisión en que se aceptarán los certificados SHA1. El 1 de enero de 2017 es cuando los certificados SHA1, cada vez que se emitieron, pierden su validez.

Esto es para certificados SSL que no están en Windows Vista y Windows Server 2008. Los certificados de firma de código tienen una programación diferente.

(Gracias a @ bayo15 por comentar que los certificados autofirmados son diferentes.)

    
respondido por el Neil Smithline 18.08.2015 - 17:30
fuente
2

En respuesta a la parte Added 2 .

Sí. Será el mismo después del 1 de enero de 2016 e incluso después del 1 de enero de 2017. Siempre puede hacer clic en esta advertencia y decirle al navegador que la ignore (es algo más difícil con HSTS, pero eso es otra historia).

    
respondido por el bayotop 19.08.2015 - 11:12
fuente
0

Deberá reemplazarlo antes de enero de 2017 con un SHA-2 para que los clientes de Windows / navegador acepten el certificado.

    
respondido por el shift_tab 18.08.2015 - 17:27
fuente
0

Los certificados autofirmados con firma SHA-1 continuarán funcionando en el sentido de que el tráfico http entre el cliente y el servidor continuará encriptado.

Los navegadores siempre han marcado certificados autofirmados porque el certificado no ha sido firmado digitalmente por una Autoridad de Certificación de confianza.

A partir de junio de 2016 , Internet Explorer ahora también marcará los certificados emitidos por una autoridad de certificación de confianza, pero que solo están firmados con el algoritmo SHA-1. Consulte el artículo de TechNet en Aplicación de Windows de la firma de código y marca de tiempo de Authenticode

En su caso, continuará viendo las mismas advertencias en el navegador.

    
respondido por el Sam Acton 13.01.2016 - 14:54
fuente

Lea otras preguntas en las etiquetas