微軟公告,因應今年中起將只支援SHA-2憑證,為了讓系統能持續下載Windows 更新,Windows 7、Windows Server 2008電腦必須在今年7月16日前支援2019 SHA-2程式碼簽章。

微軟解釋,Windows 更新過去同時使用SHA-1及SHA-2雜湊演算法作為更新的驗證,以確保下載期間不受到他人有機可趁。但因為SHA-1 演算法安全性較弱,而且配合產業標準,微軟未來將全面只使用更安全的SHA-2演算法。

隨著運算硬體普及帶動SHA-1加密演算法的破解成本大幅降低,也讓SHA-1不敷使用。微軟2013年時就已預告2016年1日1日起停用新的SHA-1憑證,並在2016年6月提前停止支援所有SHA-1 SSL/TLS憑證。其他業者包括Google Chrome、Mozilla Firefox及微軟IE,也都早已升級到了SHA-2。

因應未來Windows只支援SHA-2,微軟要求所有舊版作業系統,包括Windows 7 SP 1、Windows Server 2008 R2 SP1/SP2的用戶,必須在2019年7月前具備SHA-2演算法的支援。任何不支援SHA-2的系統,在期限之後將無法下載Windows更新。

微軟將在未來幾個月內,針對Windows及舊版Windows Server Update Services (WSUS)釋出SHA-2簽章的支援軟體。其中,單獨版SHA-2程式碼簽章支援將包含在安全更新中釋出,3月12日及4月9日各釋出一次。而針對WSUS 3.0 SP2的單獨版SHA-2支援,也會於3月12日釋出。

微軟將在6月18日正式將Windows簽章由SHA-1及SHA-2雙軌支援,改為只支援SHA-2簽章。這天也是WSUS 3.0 SP2的用戶安裝SHA-2的最後期限。而所有舊Windows 7及Server 2008系統安裝SHA-2支援的最後期限為7月16日。

微軟也將從7月16日起,將所有Windows 10版本,包括1709、1803、1809和Server 2019的更新,由雙軌支援轉換為只支援SHA-2。不過這些系統無需用戶端的作業。


Advertisement

更多 iThome相關內容