SHA-1证书隐患多 升级SHA-2才安全

　　据媒体报道，近日有科学家利用碰撞攻击的方式研究破解SHA-1算法，他们称之为“Freestart Collision”。利用这种新方法，他们只需要10天就能破解一个完整的SHA-1算法。

　　SHA-1是一种安全算法，举个例子来说：当你访问一个网站时，该网站向浏览器出示一个文件（类似于身份证），即一张SSL证书（服务器证书）。这个证书用来做两件事：加密访问网站的链接（HTTPS）和验证网站真实身份。这时你的浏览器会通过验证SSL证书信息中的SHA-1值来确认这张SSL证书是否由正规CA（数字证书签发机构，如symantec、CFCA等）签发。如果答案是肯定的，则说明该网站安全可信，反之则代表该网站存在安全风险。

　　现在的情况是，SHA-1值如果被破解，黑客就可以使用伪造的SHA-1 SSL证书骗取浏览器的信任。所以在去年，微软谷歌宣布将在2016年淘汰使用SHA-1 SSL证书，而各大CA机构也开始逐步停止签发SHA-1 SSL证书。例如我国最大的CA机构CFCA就在2015年新建了可签发SHA-2证书的全球信任体系证书系统。（作为SHA-1的继任者，SHA-2算法被证明是安全可靠的）

　　CFCA提醒仍在使用SHA-1 SSL证书的网站站长尽快将证书升级为SHA-2 SSL证书，而CFCA将提供免费的证书更换服务。针对部分用户反馈SHA-2证书出现报错的情况，CFCA提示：SHA-2算法需要WinXP SP3及以上版本操作系统的支持，如果低于WinXP SP3版本，将导致报错。CFCA还要提示站长，目前以Chrome为代表的部分主流浏览器已对安装了SHA-1证书的网站提出了安全警告（如下图），如不及时升级SSL证书，将有可能导致网站访客的大量流失。