Edge和IE11浏览器明年将开始拒绝接受SHA-1 TLS证书

近日，微软 Edge 浏览器团队在官方博客发表了一篇博文，宣布从明年的情人节（2 月 14 日）开始，Edge 浏览器和 IE 均不会对使用 SHA-1 加密的网站进行。实际上SHA-1作为一种散列算法，从1995年发布以来就一直被广泛使用，但是在2005年其被攻破之后，它就已经不再被认为是安全的加密手段了，目前已经由更安全的散列函数SHA-2和SHA-3所取代。

其实早在去年11 月份微软就已经做出了类似的声明，现在看起来是真的正式给出了执行日期。事实上，目前包括谷歌、Mozilla和微软在内的许多公司都已经宣布了它们将在2017年前停止接受SHA-1 TLS证书。

微软声明将不会接受SHA-1 TLS证书了

微软的这份声明，显然是为了进一步增强Edge和IE 11浏览器的安全功能。今后这两种浏览器将不会在加载显示使用SHA-1签名证书的网站，并且显示“无效证书”警告，当然用户可以选择绕过警告并访问可能有漏洞的网站。

对此微软已经做出了澄清，这一措施只会影响使用SHA-1签名证书并且链接到微软受信任根CA的网站，而手动安装企业SHA-1证书或自签名SHA-1证书的网站将不受影响。使用Windows加密API或Internet Explorer旧版本的第三方Windows应用程序也不会受到影响。

另外，此次更新也不会阻止应用的客户端在身份验证中使用SHA-1证书。而关于交叉签名的证书，微软已经确认Windows将仅检查根证书的指纹是否存在于微软受信任的根证书计划中。

除了以上几点之外，微软方面还表示，目前安装了2016年11月Windows更新的开发人员已经可以尝试测试他们的网站是否会受到这项决定的影响了。