问使用带有新SHA256证书的诺基亚功能手机

EN

基本上，您不能同时支持较旧的设备，并且使用更现代的算法来改进哈希签名的安全性。

消除SHA-1的努力是非常广泛的，并且按照通常的标准，非常迅速。这并不是一件坏事-- SHA-1的签名证书有详细的文档问题，虽然这些证书目前对大多数攻击者来说并不可行，但该技术一直在改进，最好在技术达到危险点之前完全取消SHA-1签名。

要解决对旧根证书缺乏支持的问题，所能做的事情非常少。这些设计在一段时间后到期，虽然过期已经提前，但计划总是最终停止使用它们。

类似地，您不能支持证书签名。显然，您可以使用两种方法对同一证书进行签名，尽管您只能为给定的web服务器安全地使用其中一种方法(与密码不同，SSL不协商签名方法)。

如果您可以找到愿意使用SHA-1算法签署证书的提供者，使用旧的根证书，则可以使用该方法将功能电话用户引导到站点的不同版本，而其他用户则获得使用更新算法签名的版本。为了做到这一点，您需要在HTTP上运行您的登陆页，或者使用旧的证书进行签名，然后从那里重定向。如果您用较新的证书对其进行签名，则旧设备将无法访问它，因此永远不会到达重定向。

这确实带来了安全风险，但这可能被认为是可以接受的，找到一个自愿和可操作的CA的困难仍然存在。

另一种选择是执行类似的操作，但是对这些设备的证书进行自我签名。这并不能解决根证书问题，但可能允许加密连接，如果用户可以手动接受证书(我不知道在功能电话上这是否总是可能的--我已经尝试了一段时间了)。这提供了机密性，而不需要CA提供的隐式信任，但您可以控制证书的签名和其他特性。