Центры SSL-сертификации о нововведениях с SHA-2
Ранее в статье я рассказывал о том, что будет происходить с поддержкой браузерами от Mozilla, Google и Microsoft алгоритма шифрования SHA-1, используемого для генерации SSL-сертификатов и их подписи. Напомню, компания Microsoft несколько ультимативно дала понять центрам сертификации то, что они должны отказаться от использования SHA-1 («CAs must stop issuing new SHA1 SSL…») и перейти на более современные и криптостойкие алгоритмы. И сегодня мы рассмотрим, как на это отреагировали сами центры сертификации, и как это скажется на владельцах SSL-сертификатов.Приведу информацию от некоторых крупных центров сертификации, которую они опубликовали на своих сайтах:
GoDaddy«В обязательном порядке отзывают все сертификаты SHA-1 для их перевыпуска с использованием SHA-2. Все новые сертификаты со сроком окончания на дату от 1 января 2017 г. уже будут использовать только SHA-2. Остальные новые сертификаты также будут использовать SHA-2 Сертификаты подписания кода (Code-signing), чей срок истекает после 31 декабря 2015 г. должны использовать SHA-2.»
Comodo«Начиная с 8 сентября 2014 г. Comodo стали выпускать сертификаты с SHA-2 по умолчанию.В зависимости от даты окончания действия сертификата владельцы последних будут уведомлены о замене сертификатов с SHA-1 на те, что созданы с использованием SHA-2.Также центр сертификации Comodo опубликовал график своего ухода от использования SHA-1.
8 сентября 2014 г. Все нынешние владельцы SSL-сертификатов могут заменить свой сертификат с SHA-1 на такой же, но с SHA-2. Сделать это можно авторизовавшись в личном кабинете, перейдя в заказ сертификатов и используя возможность «Replace Certificate». 8 сентября 2014 г. Comodo начинает выпускать SHA-2 сертификаты по умолчанию. Но предоставляет возможность выбирать при заказе сертификат с SHA-1, если это действительно нужно. Если при заказе не будет выбрана возможность SHA-1, то будет выслан сертификат с SHA-2. 22 сентября 2014 г. Comodo стали выпускать SSL-сертификаты, срок действия которых истекает после 2016 года только с использованием SHA-2. 1 января 2016 г. Comodo больше не поддерживает подписи или сертификаты, основанные на SHA-1. Сертификаты, чей срок действия истекает после 2016 года, Comodo бесплатно перевыпускает с использованием алгоритма хэширования SHA-2.»
Verisign/Symantec«Владельцам сертификатов следует начать перевыпуск сертификатов до ноября 2014 года. Перевыпустить следует все сертификаты со сроком действия до 1 января 2016 года. SHA-1 можно будет выпустить, но только сроком до 31 декабря 2015 года.»
Судя по информации на сайте https://shaaaaaaaaaaaaa.com/, где содержится наиболее актуальная информация по центрам сертификации, можно сказать, что в большинстве своем, компании отреагировали адекватно и своевременно. Предложили своим клиентам возможность бесплатно перевыпустить уже используемые сертификаты. Некоторые из центров временно оставили возможность выпустить сертификаты с использованием алгоритма хэширования SHA-1.
Помимо вышеуказанного сайта, проверить SSL-сертификат сайта можно сервисом от Symantec: https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp