微軟正式移除IE與Edge對SHA-1憑證的支援

微軟在本周二（5/9）的Patch Tuesday中，更新了IE 11與Microsoft Edge瀏覽器，在這兩大瀏覽器上封鎖了任何採用SHA-1加密憑證的網站，同時在網頁上顯示「憑證錯誤」（Certificate error）的訊息。

SHA-1為美國國安局（NSA）在1995年所發表的加密雜湊函數，可用來加密及驗證檔案身分，理論上每個以SHA-1加密的檔案都會有專屬的雜湊值，但近年來陸續有研究人員宣稱SHA-1含有一可造成碰撞攻擊的安全漏洞，允許駭客打造擁有同樣雜湊值的文件，以假亂真。Google則在今年2月宣布已成功破解SHA-1，實際執行了碰撞攻擊。

微軟強調，這並不是IE或Edge瀏覽器的安全漏洞，只是各界已不再鼓勵採用基於SHA-1的數位憑證，並建議客戶升級到SHA-2，此外，Windows 10 Creators Update的瀏覽器預設值便已封鎖了SHA-1。

雖然顯示了憑證錯誤訊息，同時警告造訪這些採用SHA-1憑證的網站可能會招致資料遭竊等問題，但微軟瀏覽器仍舊會放行那些堅持造訪相關網站的流量。

在微軟之前，Google Chrome已於今年1月釋出的Chrome 56便已終止對SHA-1憑證的支援，而Mozilla也在今年2月釋出的Firefox 52全面封鎖採用SHA-1憑證的網站。根據Mozilla今年2月的統計，仍使用SHA-1而未升級至SHA-2的網站佔不到整體網路流量的0.1%。