Certificados SSL

Certificados SSL Ajuda

Informações sobre exigir a função de hash SHA-2

Todos os certificados SSL que usam a função de hash antiga SHA-1 precisam de uma nova chave para usarem SHA-2 imediatamente. O SHA-1 é potencialmente vulnerável, o que anula a propósito de um certificado SSL.

Informação adicional

Os certificados embaralham (ou criptografam) a comunicação entre o servidor do seu site e o navegador do visitante de tal maneira que apenas os dois se entendem. Essa interferência evita que outras pessoas consigam acessar a conversa e obter informações que você não quer que ninguém mais saiba: normalmente, informações de segurança, como números de cartão de crédito e de CPF. Essa criptografia é feita usando uma função de hash.

Embora eles criptografem informações diferentes, os certificados de assinatura de código também usam a mesma função de hash para "assinar" um código executável quando seu desenvolvedor o lança. Se o código for alterado, a assinatura não funciona e o usuário recebe um aviso ao tentar executá-lo.

A função de hash que mais usávamos antes de 23 de dezembro de 2013 se chama SHA-1. Essa função existe desde quando os certificados SSL foram desenvolvidos na década de 90.

No entanto, à medida que os computadores se tornam mais potentes, as informações codificadas pelo SHA-1 estão sendo descriptografadas cada vez mais facilmente. Por causa disso, a Microsoft® está promovendo uma nova diretriz da indústria para exigir que todas as Autoridades de Certificação, incluindo nós mesmos, comecem a usar SHA-2 como a função de hash padrão. A Google também aderiu e fará que seu navegador Chrome® comece a avisar os visitantes de problemas de segurança com certificados que usam SHA-1.

Meu certificado precisa usar SHA-2?

Os novos certificados que emitimos com datas de validade após 1º de janeiro de 2017 podem usar apenas SHA-2.

Os certificados de assinatura de código que data de vencimento anterior a 31 de dezembro de 2015 também devem usar um SHA-2, exceto os certificados com SHA-1, que podem continuar sendo usados para assinar arquivos no Windows Vista e em versões anteriores do Windows. Veja mais informações no artigo da Microsoft sobre a imposição do Windows da assinatura de código Authenticode e do carimbo de data/hora.

Os certificados já emitidos não precisam começar a usar o SHA-2, mas é altamente recomendado. Mudar para o SHA-2 prepara o certificado para tecnologias futuras e melhora a segurança do servidor. Você pode mudar sua função de hash para SHA-2 simplesmente usando uma nova chave para seu certificado. Para obter mais informações, consulte Gerar nova chave para o meu certificado.