沙一对个人PKI证书的影响
沙一对个人PKI证书的影响
提问于 2016-08-05 04:44:31
我知道大多数商业浏览器将在2017年1月之前停止信任具有SHA-1PKI证书的网站,因此在那个时候更新到SHA-2的网站是至关重要的。我的问题是,对于最终用户来说,到2017年1月将他们的个人PKI证书更新到SHA-2是否也很重要,以便能够在需要基于证书的认证的网站上进行身份验证?也就是说,在相互认证期间,浏览器是否也不再支持向网站发送SHA-1证书?
回答 2
Security用户
发布于 2016-08-05 06:24:22
Web浏览器将接受SHA-1客户端身份验证证书.但是,如果身份验证服务器(例如域控制器)不支持SHA-1,Web服务器可能会拒绝此证书。
我认为大多数身份验证服务器将接受SHA-1客户端证书(至少Active Directory可以),因为它们不受折旧政策的影响,但我强烈建议升级您的CA使用SHA-2签署证书。
Security用户
发布于 2016-10-04 08:20:40
据我所知,为证书创建SHA1哈希冲突在理论上是可能的,但它仍然需要2^61 SHA压缩(根据2011年的这论文)。我不知道最近是否有更多的关于这个话题的研究,有不同的结果。2^61的复杂性意味着只有像NSA等最强大的玩家才能生成与您的证书具有相同哈希的证书。如果你是一个高价值的目标,那么你应该颁发一个新的证书,但如果你是,你可能不会在这个网站上张贴。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/133014
复制相关文章
相似问题
腾讯云开发者
