【问题标题】:Why does Chrome display a "SHA1" message with a SHA2 certificate为什么 Chrome 会显示带有 SHA2 证书的“SHA1”消息
【发布时间】:2014-09-25 23:20:46
【问题描述】:

我刚刚重新键入了一个 SHA1 证书并在其位置安装了一个新的 SHA2 证书。 一切正常。没有不安全的内容。 Digicert 的诊断工具显示一切正常,并且“签名算法 = SHA256 + RSA”。然而,谷歌浏览器说(注意我的重点):

本网站的身份已通过 DigiCert SHA2 High 验证 Assurance Server CA,但没有公共审计记录。

您与 [www.domain.com] 的连接使用 128 位加密 加密。

连接使用 TLS 1.0。

连接使用 AES_128_CBC 加密,使用 SHA1 作为消息 身份验证和 DHE_RSA 作为密钥交换机制。

为什么谷歌浏览器会说连接正在使用“SHA1 进行消息身份验证”?

(注意:我已清除缓存并刷新页面)

【问题讨论】:

    标签: google-chrome ssl encryption


    【解决方案1】:

    消息认证用于对传输中的数据进行认证。它不用于保护证书(使用数字签名)。

    许多密码套件仍将使用使用 SHA-1 的 HMAC,因为 SHA-1(甚至 MD5)在 HMAC 方案中是相当安全的(因为密钥在开始和结束时都经过哈希处理)要保护的数据)。

    HMAC 算法的结构使其不易受到底层哈希算法属性的攻击。 HMAC 对当前(成功)的 MD5 和 SHA-1 攻击具有很强的弹性。

    【讨论】:

    • 啊,太好了。我想可能是这样的。谢谢你。因此,即使它使用 SHA1 进行“消息身份验证”,证书在使用 SHA2 方面也会满足 Google 并且不会提示警告(per:googleonlinesecurity.blogspot.com.au/2014/09/…)?
    • 是的,这就是它的要点。当然,如果您有一些空闲的 CPU 周期,那么支持更高安全性的密码套件而不是使用旧哈希函数的密码套件并没有什么坏处。
    猜你喜欢
    • 2017-12-15
    • 2016-11-09
    • 2014-11-06
    • 1970-01-01
    • 1970-01-01
    • 2014-01-04
    • 1970-01-01
    • 1970-01-01
    • 2012-12-30
    相关资源
    最近更新 更多