微软公布弃用SHA-1证书的下一步详细计划

去年 11 月微软公布了将弃用 SHA-1 的说明，现在微软公布了下一步计划的更多细节。在即将到来的 Windows 10 周年更新中，Microsoft Edge 和 Internet Explorer 浏览器不再考虑将采用 SHA-1 证书作为安全保护的网站，并将移除地址栏中采用 SHA-1 证书网站的「绿色小锁」图标。虽然这些网站仍可使用 Microsoft Edge 和 Internet Explorer 打开，但不会默认为安全站点。这一变化将在即将发布的 Windows Insider Preview Build 中开始实施，并在今年夏天推出的 Windows 10 周年更新中进行广泛实施。

从 2017 年 2 月开始，Microsoft Edge 和 Internet Explorer 将正式阻止采用 SHA-1 签发的 TLS 证书，这一变更将被推送给 Windows 10 中的 Microsoft Edge 和 Windows 7、Windows 8.1、Windows 10 中的 Internet Explorer 11，并只会影响受微软信任根证书中的某个 CA 链。

关于微软计划整体弃用 SHA-1 的更多详细信息可以参考 TechNet。

测试阻止SHA-1 TLS证书

你可以在管理员命令行中使用如下命令启用 SHA-1 证书的日志记录，该命令不会阻止 SHA-1 TLS 证书，但会记录相应日志。

1 创建一个日志存放目录并授权：

set LogDir=C:\Log
mkdir %LogDir%
icacls %LogDir% /grant *S-1-15-2-1:(OI)(CI)(F)
icacls %LogDir% /grant *S-1-1-0:(OI)(CI)(F)
icacls %LogDir% /grant *S-1-5-12:(OI)(CI)(F)
icacls %LogDir% /setintegritylevel L

2 启用证书日志：

Certutil -setreg chain\WeakSignatureLogDir %LogDir%
Certutil -setreg chain\WeakSha1ThirdPartyFlags 0x80900008

3 测试完成后可使用如下命令删除配置：

Certutil -delreg chain\WeakSha1ThirdPartyFlags
Certutil -delreg chain\WeakSignatureLogDir

以上命令和对弱密码保护等的附加信息可以在针对弱加密算法提供保护一文中找到。