Microsoft 安全性摘要報告 4010323

說明 SSL/TLS 憑證的 SHA-1

發行日期:2017 年 5 月 9 日

版本:1.0

提要

自 2017 年 5 月 9 日起,Microsoft 已經針對 Microsoft Edge 和 Internet Explorer 11 發行更新,以防止使用 SHA-1 憑證做為保護的網站載入及顯示無效的憑證警告。這項變更只對鏈結至「Microsoft 可信任的根程式」中根目錄的 SHA-1 憑證造成影響,因其終端實體憑證或發行中繼使用 SHA-1。企業或自我簽署的 SHA-1 憑證不會受到影響,但還是建議所有客戶盡快遷移至 SHA-2 憑證。如需詳細資訊,請參閱 Windows 強制執行 SHA1 憑證 (英文)

如需詳細資訊,請參閱 Microsoft 知識庫文章 4010323

摘要報告詳細資料

問題參照

如需這個問題的詳細資訊,請參閱下列參考資料:

参考 参考
一般資訊 Windows 強制執行 SHA1 憑證

SHA-1 取代倒數
技術需求 防範弱式密碼編譯演算法

受影響的軟體

本摘要報告適用於下列作業系統:

Windows 7
32 位元系統的 Windows 7 Service Pack 1
x64 型系統的 Windows 7 Service Pack 1
Windows Server 2008 R2
x64 型系統的 Windows Server 2008 R2 Service Pack 1
Itanium 型系統的 Windows Server 2008 R2 Service Pack 1
Windows 8.1
32 位元系統的 Windows 8.1
x64 型系統的 Windows 8.1
Windows Server 2012 R2
Windows Server 2012 R2
Windows 10
32 位元系統的 Windows 10[1]
x64 型系統的 Windows 10[1]
32 位元系統的 Windows 10 1511 版[1]
x64 型系統的 Windows 10 1511 版[1]
32 位元系統的 Windows 10 1607 版[1]
x64 型系統的 Windows 10 1607 版[1]
Windows Server 2016
x64 型系統的 Windows Server 2016
Server Core 安裝選項
適用於 x64 型系統的 Windows Server 2008 R2 (Server Core 安裝)
Windows Server 2012 R2 (Server Core 安裝)
適用於 x64 型系統的 Windows Server 2016 (Server Core 安裝)

摘要報告常見問題集

摘要報告的範圍為何?
此摘要報告旨在協助客戶評估使用以 SHA-1 雜湊演算法簽署之 X.509 數位憑證之程式的風險,並建議系統管理員和憑證授權單位使用 SHA-2 取代 SHA-1 做為簽署數位憑證的演算法。

這是需要 Microsoft 發行安全性更新的安全性弱點嗎?
不是。Microsoft 建議所有客戶遷移至 SHA-2,不鼓勵使用 SHA-1 做為簽署用途的雜湊演算法,此做法已不再是最佳做法。雖然 Microsoft 的產品沒有這項弱點,但 Microsoft 仍發佈此摘要報告,以協助釐清客戶所涉及的實際風險。

造成這個威脅的原因為何?
問題的根本原因是 SHA-1 雜湊演算法的一項已知弱點使其可能受到碰撞攻擊。這類攻擊可允許攻擊者產生其他憑證,而該憑證具有與原始憑證相同的數位簽章。因此不鼓勵將 SHA-1 憑證用於需要對抗這些攻擊的特定用途。在 Microsoft 方面,安全性開發生命週期已要求 Microsoft 不再使用 SHA-1 雜湊演算法作為 Microsoft 軟體的預設值。如需更多關於 SHA-1 衝突弱點的資訊,請參閱 SHAttered: The first collision for full SHA-1

什麼是數位憑證?
公開金鑰加密共有兩組金鑰,其中一個稱為「私密金鑰」,必須加以保密。而另一個則稱為「公開金鑰」,必須透露給外界。但是,金鑰的擁有者必須透過某種方式來告知外界金鑰的主人是誰。「數位憑證」便是金鑰擁有者用來傳達這項資訊的一種方式。一份數位憑證是一組電子認證,用來證實個人、組織、電腦的線上身分。數位憑證包含一組公開金鑰,與其相關資訊一同封包,如金鑰的擁有者、用途、到期日等等。如需詳細資訊,請參閱瞭解數位憑證

數位憑證的用途為何?
數位憑證主要是用來確認人員或裝置的身分、驗證一項服務或加密檔案。通常,除了偶爾有指出憑證已到期或無效的訊息外,不需要思考憑證的問題。在這類情況下,應該聽從訊息中的指示。

什麼是憑證授權單位 (CA)?
憑證授權單位就是發行憑證的組織。憑證授權單位會建立並驗證屬於某個人或其他憑證授權單位的公開金鑰之真實性,並且驗證要求憑證的人員或組織之身分。

建議動作

  • 檢閱 Microsoft 可信任的根程式原則變更

    客戶若有興趣深入了解此摘要報告所涵蓋的主題,請檢閱 Windows 強制執行 SHA1 憑證 (英文)

  • 從 SHA-1 更新到 SHA-2

    自 2016 年 1 月起,已禁止憑證授權單位發行新的 SHA-1 憑證。客戶應確保其憑證授權是使用 SHA-2 雜湊演算法來從其憑證授權單位取得 SHA-2 憑證。若要以 SHA-2 憑證簽署程式碼,請參閱 Windows 強制執行 SHA1 憑證 (英文) 中關於此主題的指導。

    行動的影響:以硬體為基礎的較舊解決方案可能需要升級,以支援這些更新的技術。

  • 隨時更新 Windows

    所有 Windows 使用者應套用最新的 Microsoft 安全性更新,以確保電腦受到盡可能完善的保護。如果您不確定軟體是否為最新,請造訪 Windows Update,掃描電腦尋找可用的更新,並安裝提供給您的任何高優先順序的更新。如果您啟用了 [自動更新] 功能,更新會在發行時傳送給您,但您必須記得安裝。

其他資訊

意見反應

支援

  • 美國及加拿大地區客戶可洽詢安全性支援以取得技術支援。如需更多資訊,請參閱 Microsoft 說明及支援
  • 不同國家/地區的客戶,可以從當地的 Microsoft 分公司取得支援。如需更多資訊,請參閱國際支援
  • Microsoft TechNet 資訊安全網站提供 Microsoft 產品安全性的其他相關資訊。

免責聲明

本摘要報告中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂

  • V1.0 (2017 年 5 月 9 日):摘要報告發行。

頁面產生時間:2017 年 5 月 2 日上午 10:27-07:00。