明年情人节起Edge和IE浏览器将停止信任基于SHA-1的证书

基于SHA-1算法的SSL证书已经在全球范围内停止签发了，当然还在签发的证书颁发机构也已经受到了惩罚。

在2005年时中国密码学专家王小云就已经破译了SHA-1算法，2012年时密码学专家Jesse Walker预测找到一组SHA-1碰撞需要200万美元，但这个费用在2017年会降低至17.3万美元，然而事实上在2015年下半年由法国、荷兰和新加坡大学组成的科学团队花费10余天就破译了SHA-1算法，该团队破译SHA-1算法的总体成本仅仅只有7.5~12万美元，因此伪造SHA-1证书的时间和成本也越来越低。

全球数字证书颁发机构已经在2016年1月1日起停止签发基于SHA-1算法的SSL证书，不过任何过时技术想完全从历史舞台退出都不是简单的事儿，目前Google Chrome已经降低SHA-1证书在浏览器中的安全标识，而Mozilla Firefox也将在明年禁止访问SHA-1证书的网站，现在微软旗下的Microsoft Edge和IE浏览器也要停止支持SHA-1证书了，时间从2017年的2月14日开始。届时使用主流浏览器都将不再支持访问基于SHA-1证书的网站，但用户依然可以手动选择继续访问。

微软称新政策只会影响到使用SHA-1签名证书并且连接到微软受信任的ROOT CA网站，对于手动安装企业SHA-1证书或者自签名的SHA-1证书都不会受到影响。

另外对于使用Windows加密API或者IE旧版本的第三方应用程序也不会受到影响，不会阻止客户端在身份验证中使用SHA-1证书。

SHA-2证书对系统及环境的最低要求：

1. 3+
2. Apple iOS 3.0+
3. Apple OS X 10.5+
4. Blackberry 5.0+
5. Chrome OS All
6. Windows Outlook 2003 SP3+（Vista及以上系统）
7. Windows Phone 7+
8. Windows XP SP3+
9. OpenSSL 0.9.8o+
10. Java 1.4.2+

SHA-2证书对浏览器的最低要求：

1. Adobe Acrobat/Reader 7
2. Chrome 26+
3. Chrome for Linux
4. Chrome for Mac OS X 10.5+
5. Firefox 1.5+
6. Internet Explorer 6+ (Windows XP SP3及以上)
7. 4+ (NSS 3.8+)
8. 1+
9. 0+
10. Safarifor 3+ Mac OS X 10.5+

原文来自：蓝点网