微软正式移除IE与Edge对SHA-1凭证的支援

社会动态2021-03-11 14:04:13
最佳答案示意图,与新闻事件无关。

示意图,与新闻事件无关。

图片来源:

Microsoft

微软在本周二(5/9)的Patch Tuesday中,更新了IE 11与Microsoft Edge浏览器,在这两大浏览器上封锁了任何採用SHA-1加密凭证的网站,同时在网页上显示「凭证错误」(Certificate error)的讯息。

SHA-1为美国国安局(NSA)在1995年所发表的加密杂凑函数,可用来加密及验证档案身分,理论上每个以SHA-1加密的档案都会有专属的杂凑值,但近年来陆续有研究人员宣称SHA-1含有一可造成碰撞攻击的安全漏洞,允许骇客打造拥有同样杂凑值的文件,以假乱真。Google则在今年2月宣布已成功破解SHA-1,实际执行了碰撞攻击。

微软强调,这并不是IE或Edge浏览器的安全漏洞,只是各界已不再鼓励採用基于SHA-1的数位凭证,并建议客户升级到SHA-2,此外,Windows 10 Creators Update的浏览器预设值便已封锁了SHA-1。

虽然显示了凭证错误讯息,同时警告造访这些採用SHA-1凭证的网站可能会招致资料遭窃等问题,但微软浏览器仍旧会放行那些坚持造访相关网站的流量。

在微软之前,Google Chrome已于今年1月释出的Chrome 56便已终止对SHA-1凭证的支援,而Mozilla也在今年2月释出的Firefox 52全面封锁採用SHA-1凭证的网站。根据Mozilla今年2月的统计,仍使用SHA-1而未升级至SHA-2的网站佔不到整体网路流量的0.1%。

免责声明:本文由用户上传,如有侵权请联系删除!