Microsoft Security Advisory 4010323
取代 Microsoft Edge 和 Internet Explorer 11 中 SSL/TLS 憑證的 SHA-1
發佈時間: 2017 年 5 月 9 日
版本: 1.0
執行摘要
從 2017 年 5 月 9 日起,Microsoft 已發行 Microsoft Edge 和 Internet Explorer 11 的更新,以封鎖受到 SHA-1 憑證保護的網站載入,並顯示無效的憑證警告。 這項變更只會影響鏈結至 Microsoft 受信任根計劃中根目錄的 SHA-1 憑證,而最終實體憑證或發行中繼會使用 SHA-1。 雖然我們建議所有客戶快速移轉至SHA-2型憑證,但企業或自我簽署的SHA-1 憑證不會受到影響。 如需詳細資訊,請參閱 Windows 強制 SHA1 憑證。
如需詳細資訊,請參閱 Microsoft 知識庫文章4010323。
諮詢詳細數據
問題參考
如需此問題的詳細資訊,請參閱下列參考:
| 參考 | 參考 |
|---|---|
| 一般資訊 | WINDOWS 強制執行 SHA1 憑證 |
| \ | SHA-1 淘汰倒數倒數 |
| 技術需求 | 防範弱式密碼編譯演算法 |
受影響的軟體
此諮詢適用於下列作業系統:
| Windows 7 |
|---|
| Windows 7 for 32 位系統 Service Pack 1 |
| Windows 7 for x64 型系統 Service Pack 1 |
| Windows Server 2008 R2 |
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 |
| Windows Server 2008 R2 for Itanium 型系統 Service Pack 1 |
| Windows 8.1 |
| Windows 8.1 for 32 位系統 |
| 適用於 x64 型系統的 Windows 8.1 |
| Windows Server 2012 R2 |
| Windows Server 2012 R2 |
| Windows 10 |
| Windows 10 for 32 位系統 |
| 適用於 x64 型系統的 Windows 10 |
| 適用於 32 位系統的 Windows 10 版本 1511 |
| 適用於 x64 型系統的 Windows 10 版本 1511 |
| 適用於 32 位系統的 Windows 10 版本 1607 |
| 適用於 x64 型系統的 Windows 10 版本 1607 |
| Windows Server 2016 |
| 適用於 x64 型系統的 Windows Server 2016 |
| Server Core 安裝選項 |
| 適用於 x64 型系統的 Windows Server 2008 R2 (Server Core 安裝) |
| Windows Server 2012 R2 (Server Core 安裝) |
| 適用於 x64 型系統的 Windows Server 2016 (Server Core 安裝) |
諮詢常見問題
諮詢的範圍為何?
此諮詢旨在協助客戶評估使用SHA-1哈希演算法簽署之 X.509 數字證書的特定應用程式風險,並建議系統管理員和證書頒發機構單位使用SHA-2取代SHA-1作為簽署數位證書的演算法。
這是需要 Microsoft 發出安全性更新的安全性弱點嗎?
否。 Microsoft 建議所有客戶移轉至 SHA-2,且不建議使用 SHA-1 作為簽署用途的哈希演算法,而且不再是最佳做法。 雖然這不是 Microsoft 產品中的弱點,但 Microsoft 會發出此諮詢,以協助釐清客戶的實際風險。
造成此威脅的原因為何?
問題的根本原因是SHA-1 哈希演算法的已知弱點,會將其公開給衝突攻擊。 這類攻擊可讓攻擊者產生與原始相同數字簽名的其他憑證。 不建議針對需要抵抗這些攻擊的特定用途使用SHA-1 憑證。 在 Microsoft 中,安全性開發生命週期已要求 Microsoft 不再使用 SHA-1 哈希演算法作為 Microsoft 軟體中的預設值。 如需 SHA-1 衝突弱點的詳細資訊,請參閱 SHAttered:完整 SHA-1 的第一個衝突。
什麼是數字證書?
在公鑰密碼編譯中,其中一個金鑰,稱為私鑰,必須保密。 另一個金鑰,稱為公鑰,旨在與世界共用。 不過,金鑰擁有者必須有辦法告訴世界密鑰所屬。 數位證書提供執行此動作的方法。 數位證書是用來認證個人、組織和計算機在線身分識別的電子認證。 數位證書包含與相關信息一起封裝的公鑰-擁有者、其用途、到期時間等等。 如需詳細資訊,請參閱 瞭解數字證書。
數位證書的用途為何?
數位證書主要用於驗證人員或裝置的身分識別、驗證服務或加密檔案。 一般而言,除了偶爾指出憑證已過期或無效的訊息之外,您完全不需要考慮憑證。 在這種情況下,應該遵循訊息中提供的指示。
什麼是證書頒發機構單位 (CA)?
證書頒發機構單位是發行憑證的組織。 他們會建立並驗證屬於人員或其他證書頒發機構單位的公鑰真實性,並驗證要求憑證的人員或組織身分識別。
建議的動作
檢閱 Microsoft 受信任的根計劃原則變更
有興趣深入瞭解此諮詢所涵蓋主題的客戶,應檢閱 WINDOWS 強制 SHA1 憑證。從 SHA-1 更新為 SHA-2
自 2016 年 1 月起,證書頒發機構單位已禁止發行新的 SHA-1 憑證。 客戶應確保其證書頒發機構單位使用SHA-2哈希演算法,從其證書頒發機構單位取得SHA-2 憑證。 若要使用 SHA-2 憑證簽署程式代碼,請參閱 Windows 強制 SHA1 憑證主題的指引。動作的影響: 舊版硬體型解決方案可能需要升級以支持這些較新的技術。
讓 Windows 保持更新
所有 Windows 使用者都應該套用最新的 Microsoft 安全性更新,以協助確保電腦盡可能受到保護。 如果您不確定您的軟體是否為最新狀態,請流覽 Windows Update、掃描您的電腦是否有可用的更新,並安裝您提供的任何高優先順序更新。 如果您已啟用自動 更新,則更新會在發行時傳遞給您,但您必須確定您安裝更新。
其他資訊
Feedback
- 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡,以提供意見反應。
支援
- 美國和加拿大的客戶可以從安全性支援收到技術支援。 如需詳細資訊,請參閱 Microsoft 說明及支援。
- 國際客戶可以從其當地 Microsoft 子公司獲得支援。 如需詳細資訊,請參閱國際支援。
- Microsoft TechNet 安全性 提供 Microsoft 產品中安全性的其他資訊。
免責聲明
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2017 年 5 月 9 日):已發佈諮詢。
頁面產生的 2017-05-08 17:41-07:00。