微软将从5月9日起全面使用SHA-2系列算法 到期的SHA-1根证书不再更新
微软此前就已经发布公告称Windows 10系列版本内置的部分根证书即将到期,但微软不会为这些证书进行续期。
原因是这些根证书使用的都是过时的 SHA-1 算法 , 该算法因不够安全所以微软会全面升级到后续更安全的版本。
这里后续的版本指的就是SHA-2 系列算法,包括SHA-224、SHA-256、SHA-384-、SHA-512/224和512/256。
微软可能主要使用的都是SHA-256或更高的算法标准,用来生成TLS证书、程序和代码签名以及文件哈希校验等。
微软在技术社区发布博客称, 该公司已决定自2021年5月9日起全面转向 SHA-2 算法不再使用过时的SHA-1算法。
进行此更改的原因是旧版算法存在弱点且高性能处理器的出现,让这些过时算法越来越容易被破解因此不再安全。
现在微软强烈建议使用诸如SHA-2之类的更强大更安全的替代方法 , 因为这些算法不会出现旧版本中存在的弱点。
也正是如此微软早在2019年开始就将累积更新使用SHA-2算法进行校验 , 2020年开始补丁库不再提供SHA-1值。
未来微软会在其TLS证书、代码签名以及文件校验等多方面使用新算法 ,同时也会彻底放弃旧算法不再提供更新。
此类算法调整主要是基于安全性考虑的,并且微软调整的也仅只是自家基础服务和软件产品不涉及整个操作系统。
在微软自己迁移到新算法后Windows 10仍然可以手动安装基于旧算法生成的证书,并且浏览器等亦可继续信任。
只是Windows 10系列版本内置的部分使用旧算法生成的根证书不会再更新,但这同样不会影响所有用户的使用。
这些旧证书即将过期微软不更新不续签但用户请不要随意删除,因为某些旧版软件可能还需要这些旧证书来校验。
早在2018年微软就已经为Windows 7发布专门的补丁更新,这枚更新用来升级Windows 7有关补丁的哈希校验。
如果用户没有安装该补丁则无法支持SHA-2算法校验文件导致补丁无法安装 , 因此这枚补丁可以说是用户必须的。
当然鉴于 Windows 7 早已结束支持我们强烈建议用户升级到受支持新版,否则将无法获得来自微软的安全更新。
但如果企业尤其是工控类设备无法升级系统话请务必安装该补丁,否则即便是微软此前发布的更新都会无法安装。