微软将删除所有与SHA-1签名的Windows下载

2020-07-30 03:02:10

微软将于2020年8月3日从微软下载中心删除所有使用SHA-1证书签名的Windows下载。

SHA-1算法通常用于对网站上使用的可执行文件和TLS和SSL证书进行代码签名,以验证发布者的合法性。

2015年,安全研究人员发布了一份报告,详细描述了SHA-1如何容易受到碰撞攻击,这些攻击可能会让攻击者创建伪造的数字证书来冒充一家公司或另一家网站。

然后,这些伪造品可以用于网络钓鱼攻击、欺骗公司,或者用于监听加密网络会话的中间人攻击。

由于SHA-1证书的问题,微软和其他开发商一直在放弃SHA-1证书,转而要求使用SHA-2来安装Windows更新。

在昨天发布的一份新的支持公告中,微软表示,他们将从微软下载中心淘汰所有使用安全散列算法1(SHA-1)签名的Windows内容,以提高安全性。

为了支持不断发展的行业安全标准,并继续保护您和提高您的工作效率,Microsoft将于2020年8月3日从Microsoft下载中心停用Windows签名的安全散列算法1(SHA-1)内容。这是我们继续努力采用安全散列算法2(SHA-2)的下一步,该算法更好地满足了现代安全要求,并提供了针对常见攻击载体的额外保护。

SHA-1是一种传统的加密散列,安全社区中的许多人认为它不再安全。在数字证书中使用SHA-1散列算法可能允许攻击者欺骗内容、执行网络钓鱼攻击或执行中间人攻击";

由于与算法相关的安全问题,Microsoft不再使用SHA-1对Windows操作系统更新进行身份验证,并提供了相应的更新以将客户转移到SHA-2,正如之前宣布的那样。因此,从2019年8月开始,不支持SHA-2的设备未收到Windows更新。如果您仍然依赖SHA-1,我们建议您迁移到当前支持的Windows版本和更强大的替代版本,如SHA-2,Microsoft在支持公告中说明。

即使微软只支持官方内容的SHA-2签名内容,但使用SHA-1签名的Windows可执行文件仍然可以在操作系统中运行。

如果Microsoft下载中心上有您仍然经常使用的较旧的SHA-1签名文件,您应该在Microsoft于8月3日删除它们之前下载这些文件。