微软上周概述了它将用于放弃浏览器支持SHA-1证书的网站的时间表,这是遍布互联网范围的计划的一部分,以消除互联网的较弱的加密。
交付Windows 10周年更新- 计划于今年夏天的某个时候发货 - Internet Explorer(IE)和Edge都将停止显示在SHA-1证书上回复网站的锁定图标。该图标表明浏览器和网站之间来回的位置已加密,因此不容易受到监视。
但是微软和其他浏览器制造商(包括Google和Mozilla)宣布SHA-1证书不安全,因为它们的加密不足。最初,浏览器建筑商已同意在2017年1月1日停止信任SHA-1签署的证书,但去年的新研究促使他们考虑了2016年7月1日的截止日期。
安全研究人员表明,网络犯罪分子可以制作伪造的基于SHA-1的证书,然后他们可以将其用于欺骗用户,以相信伪造网站是真正的交易。
Microsoft的IE和Edge实际上不会阻止使用SHA-1证书签名的网站,直到2017年2月14日(该月)的补丁。在今年夏天删除锁定图标和明年之间,即使将它们标记为不安全,用户也将能够浏览此类网站。
Windows 10中的Edge和IE11的第一阶段更改将随着该操作系统的周年更新而出现,并在Windows 7和Windows 8.1的IE11的单独更新中出现。微软没有说是否还会更新IE9,这是Windows Vista上支持的唯一公司浏览器。遗漏可能是由于Vista即将于2017年4月退休。
谷歌和Mozilla还承诺在2017年1月1日之前放弃对SHA-1的支持,但他们都表示可能会加速到2016年7月1日。
该公司将在Microsoft更新其Windows 10 Insider预览“很快”。星期五博客文章,更改为锁图标。
华盛顿州雷德蒙德公司已出版技术信息在这里关于它结束对SHA-1签名证书的支持的计划。
这个故事是“以Windows 10的夏季升级开始SHA-1加密货币的Microsoft”最初由计算机世界 。