Применимость SHA-256
13 нояб. 2024 г.
Применимость SHA-256
Применимость SHA-256
Введение
SHA-2 — это набор криптографических хэш-функций, включающий в себя SHA-224, SHA-256 и SHA-512. Число 256 в SHA-256 представляет количество бит в выводе хэша или дайджеста во время выполнения хэш-функции. Данные наборы хэш-функций поддерживаются на в каждом случае. Данная статья посвящена совместимости SHA-256 с различными софтверными платформами и операционными системами. OS X 10.5+ и Windows XP SP3+ поддерживают SHA-256 по дефолту.
Ознакомьтесь с нашей статьёй Хэш-функции для лучшего понимания их работы при валидации сертификатов и документов.
Для понимания политики GlobalSign’s в отношении выпуска SHA-256, а также для изучения важных дат, установленных Microsoft, Google и Mozilla, пожалуйста ознакомьтесь со статьёй Выпуска SHA-256.
Для приобретения сертификата SHA-256, обратитесь к представителям GlobalSign.
Содержание:
- Поддержка ОС, браузеров и серверов
- Поддержка фаерволов
- Инструменты, библиотеки, фреймворки
- Поддержка баз данных
- Поддержка ОС в деталях
- E-Mail-клиенты
- Подпись документов
- Подпись кода Windows
- Совместимость SafeNet iKey / eToken
- Мейнфрейм
- Поддержка Citrix
- Сервисы
Поддержка ОС, браузеров и серверов
|
|
Минимальная версия ОС (для SSL) |
Минимальная версия ОС (для клиентских сертификатов) |
|
Apple OS X |
10.5+ |
10.5+ |
|
Apple iOS |
3.0+ |
3.0+ |
|
Android* |
1.0+ (1.6 / 2.2) |
1.0+ |
|
Blackberry |
5.0+ |
5.0+ |
|
ChromeOS |
All Versions |
All Versions |
|
XP SP3+ |
XP SP3+ |
|
|
Windows Phone |
7+ |
7+ |
|
Windows Server |
2003 SP2 +MS13-095 |
2003 SP2 +MS13-095 |
|
|
|
|
|
|
Минимальная версия браузера |
|
|
Chrome** [7] |
1.0+ (38+) |
|
|
Firefox [7] |
1.0+ |
|
|
Internet Explorer [7] |
6+ |
|
|
Konqueror |
3.5.6+ |
|
|
Mozilla [7] |
1.4+ |
|
|
Netscape [7] |
7.1+ |
|
|
Opera [7] |
6.0+ |
|
|
Safari |
3+ |
|
|
|
|
|
|
|
Минимальная версия сервера |
|
|
Active Directory Federation Server (AD FS) [28] |
2.0+ |
|
|
Apache HTTP Server*** |
зависит от версии OpenSSL или |
|
|
Apache Tomcat |
зависит от версии Java |
|
|
IBM Domino Server [9] |
9.x с фикс-паком |
|
|
IBM HTTP Server [10] |
Любая версия с GSKit 7.0.4.14 |
|
|
IBM WebSphere Server [26] |
7.0.0.25 / 8.0.04 с PM62842 |
|
|
Microsoft Exchange Server |
зависит от версии on Windows Server |
|
|
NGINX |
зависит от версии OpenSSL |
|
|
Oracle Wallet Manager |
11.2.0.1+ |
|
|
Oracle WebLogic**** [27] |
10.3.3+ |
|
* Android имеет техническую возможность работать с сертификатами SHA-256, начиная с версии 1.0. На практике некоторые пользователи испытывают проблемы с валидацией сертификатов, имеющих кросс-сертификаты, помогающие связать цепочку с альтернативными корневыми сертификатами. Версия 1.6 улучшила положение некоторых пользователей, окончательно решив проблему лишь к версии 2.2.
** Chrome может поддерживать сертификаты SHA-2 начиная с версии 1.0, тем не менее, до версии 37 это зависит от операционной системы. Например, на Windows Server 2003 без апдейта MS13-095 или на XP SP2 Chrome не будет соединяться со страницами, использующими сертификаты SHA-2. После обновления MS13-095 к Server 2003 или SP3 к Windows XP Chrome сможет поддерживать SHA-2.
Начиная с версии 38 и выше Chrome может поддерживать сертификаты SHA-2 независимо от ОС, даже на системах типа Server 2003 без MS13-095 applied.
*** Apache 2.0 имеет встроенный модуль mod_ssl по умолчанию. Версии до to 2.0 требуют ручную установку mod_ssl для поддержки SSL в принципе. Альтернативой является модуль mod_gnutls, использующий GnuTLS вместо библиотек OpenSSL.
**** Oracle WebLogic Server 10.3.3 и выше имеет JSSE для поддержки соединений и сертификатов SSL/TLS. Более ранние версии оперируют кастомными расширениями, что в наши дни является устаревшим решением.
10.3.3 — первая версия, официально поддерживающая JSSE, его можно включить зайдя в консоль админа и выбрав Окружение> Серверы> Имя Сервера > Конфигурация> SSL > Продвинутые настройки> Использовать JSSE SSL. Сохраните изменения и перезагрузите сервер. Версии до 10.3.3 могут включить JSSE вручную, но официально это не поддерживается Oracle.
Поддержка фаерволов Support
|
|
Минимальная версия |
|
Cisco ASA 5500 [29] |
8.2 (3.9) |
Инструменты, библиотеки, фреймворки
|
|
Минимальная версия |
|
Java [19] |
Java 1.4.2+ |
|
Mozilla NSS [18] |
3.8+ |
|
OpenSSL* [3] |
0.9.8 / 0.9.8o+ |
|
GNUTLS [12] |
1.7.4+ |
|
.NET FX[13] |
3.5 SP1+ |
Поддержка SHA-2 была представлена в OpenSSL 0.9.8, но она не включена по дефолту с SSL_library_init(). В версии 0.9.8 хэш-функции SHA-2 должны быть вызваны самостоятельно или использованием OpenSSL_add_all_algorithms(), что может быть не предпочтительно. OpenSSL 0.9.8o включает алгоритмы SHA-2 в базовой конфигурации.
Поддержка баз данных
|
|
Минимальная версия |
|
MYSQL[23] |
5.5.5+ |
|
8.1 / 8.2* |
* Модуль pgcrypto для PostgreSQL представляет поддержку семейства алгоритмов SHA-2 начиная с релиза 8.1, но только для исполнения standalone. Версия 8.2 включила функции SHA-2 модуля pgcrypto в ядро PostgreSQL, позволяя данным хэшам работать с PostgreSQL вне зависимости от версии OpenSSL.
|
|
SSL-сертификаты |
SSL-сертификаты |
S/MIME |
Подпись кода |
|
Windows XP (SP1, SP2) |
✗ |
N/A |
✗ |
✗ |
|
Windows XP SP3 |
✓ |
N/A |
частично* |
частично** |
|
Windows Vista |
✓ |
N/A |
✓ |
частично** |
|
Windows 7 [20] |
✓ |
N/A |
✓ |
✓ |
|
Windows 8 |
✓ |
N/A |
✓ |
✓ |
|
Windows 10 |
✓ |
N/A |
✓ |
✓ |
|
|
|
|
|
|
|
Windows Server 2003 / 2003 SP1 |
✗ |
✗ |
✗ |
✗ |
|
Windows Server 2003 SP2 + MS13-095 |
✓ |
✓ |
✓ |
✗ |
|
Windows Server 2008 |
✓ |
✓ |
✓ |
частично** |
|
Windows Server 2008 R2 [20] |
✓ |
✓ |
✓ |
✓ |
|
Windows Server 2012 & 2012 R2 |
✓ |
✓ |
✓ |
✓ |
|
|
|
|
|
|
|
Windows Mobile 5 |
✗ |
N/A |
✗ |
N/A |
|
Windows Mobile 6 |
✗ |
N/A |
✗ |
N/A |
|
Windows Phone 7 |
✓ |
N/A |
✓ |
N/A |
|
Windows Phone 8 |
✓ |
N/A |
✓ |
N/A |
Примечания к частичной поддержке:
* S/MIME:
- Outlook на Windows XP SP3 может использовать сертификаты, подписанные SHA-256, но не может валидировать e-mail, подписанный с использованием SHA-256 .
- Outlook по умолчанию подписывает в SHA1, даже при наличии сертификата в SHA2 — требуется включить нужный алгоритм подписи в настройках.
** Подпись кода:
- Код может быть подписан сертификатом в алгоритме SHA2 в любой ОС с полной или частичной поддержкой данной подписи.
- На некоторых платформах отсутствует поддержка драйверов, подписанных в SHA2. Они не будут устанавливаться на ОС с частичной поддержкой SHA2.
E-Mail-клиенты
Алгоритм хеширования подписи в самом сертификате не зависит от хэша подписи, помещенного в электронное письмо. Например, Outlook 2003 на XP SP3 может использовать сертификат, подписанный с помощью SHA-256, для подписи зашифрованных email. Но подпись в электронном письме будет использоваться в SHA1.
|
|
Проверка email, подписанного в SHA-1 |
Проверка email, подписанного в SHA-256 |
Отправка email, подписанного в SHA-1 |
Отправка email, подписанного в SHA-256 |
|
Mozilla Thunderbird 1 - 4 [21] |
✓ |
✗ |
✓ |
✗ |
|
✓ |
✓ |
✓ |
✗ |
|
|
Mozilla Thunderbird 38+ [22] |
✓ |
✓ |
? |
✓ |
|
IBM Notes 8 [8] |
✓ |
✗ |
✓ |
✗ |
|
IBM Notes 9 [8] |
✓ |
✓ |
✓ |
✓ |
|
Microsoft Entourage 2004 [17] |
✓ |
✗ |
✓ |
✗ |
|
Microsoft Entourage 2008 [17] |
✓ |
✓ |
✓ |
✓ |
|
✓ |
✗ |
✓ |
✗ |
|
|
✓ |
✓ |
✓ |
✓ |
|
|
Outlook для Mac 2011 [17] |
✓ |
✓ |
✓ |
✓ |
Включение SHA-1 в Outlook
Outlook 2003: Инструменты > Опции> Настройки > Безопасность > Настройки > Хэш-алгоритм > SHA1
Outlook 2007, 2010, 2013: Файл > Опции > Центр доверия > Настройки центра доверия > Безопасность E-Mail > Настройки > Хэш-алгоритм > SHA1
Подпись документов
|
|
Подпись SHA1 с сертификатом SHA-256 |
Подпись SHA2 с сертификатом SHA-256 |
Валидация подписи SHA2 |
|
LibreOffice 4[7] |
✓ |
✗ |
✗ |
|
Microsoft Office 2003, 2007[7] |
✓ |
✗ |
✗ |
|
Microsoft Office 2010, 2013 |
✓ |
✓ |
✓ |
|
Adobe Acrobat 8.0+ |
✓ |
✓ |
✓ |
|
Adobe Reader 8.0+ |
✓ |
✓ |
✓ |
Примечание: Adobe Reader 8+ может подписывать документы с помощью Digital ID, если этот функционал был включён в Adobe Acrobat Professional.
Adobe Acrobat и Adobe Reader совместимы с сертификатами SHA-256 с версии 8.0, но всё ещё ведёт подпись по умолчанию в SHA1. С версии 9.1 Acrobat & Reader будет предпочитать SHA-256 для подписи, если возможно. В ином случае будет подписывать в SHA1. Подписи в SHA-2 могут быть также предпочтительны и в версиях раньше 9.1 с помощью редактирования реестра.
Цифровые подписи, поставленные с использованием более ранних версий Microsoft Office, могут не быть обратно-совместимыми с более старыми версиями. Совместимость может быть указана вручную.
Office 2003 - 2010 работает с сертификатами SHA-2, но применяет подписи в SHA1. Office 2013 использует SHA2 в качестве дефолтного хэша подписи, если это доступно. В Office 2010 и 2013 вы можете указать хэш подписи в реестре.
Подпись кода Windows
|
|
Исполняемые файлы |
Драйверы |
VBA макросы: |
VBA макросы: |
VBA макросы: |
|
Windows XP (SP1, SP2) |
✗ |
✗ |
✗ |
✗ |
N/A |
|
Windows XP SP3 |
✓ |
✗ |
✗ |
✓ |
N/A |
|
Windows Vista [15] |
✓ |
✗ |
✗ |
✓ |
N/A |
|
Windows 7 [20] |
✓ |
✓ |
✗ |
✓ |
✓ |
|
Windows 8 |
✓ |
✓ |
✗ |
✓ |
✓ |
|
Windows 10 |
✓ |
✓ |
✗ |
✓ |
✓ |
Office 2010 на Windows 7 требует хотфикс kb 2598139 для добавления поддержки SHA-256 для сертификатов подписи кода.
Windows 7 и Windows Server 2008 R2 требуют kb 3033929 для валидации драйверов, подписанных в SHA-2. Данный апдейт недоступен для XP, Vista, 2003, или 2008.
За более детальной информацией касательно поддержки хэш-алгоритмов сертификатов и дайджеста в Windows простите статью Поддержка хэш-алгоритмов в подписи кода Windows.
|
|
Минимальная версия |
|
Visual Studio Tools for Office (VSTO) [16] |
10.0.50325 |
Совместимость SafeNet iKey / eToken
|
|
Работа с сертификатом SHA2 |
Подпись SHA1 |
Подпись SHA2 |
|
iKey 4000 [5] |
✓ |
✓ |
✗ |
|
eToken 5100 [6] |
✓ |
✓ |
✓ |
Мейнфрейм
|
|
Минимальная версия |
|
IBM z/OS [11] |
v1r10 |
Поддержка Citrix
|
|
Минимальная версия |
|
Citrix Receiver |
Варьируется – см. PDF |
Ссылки
[1] SHA2 and Windows.
[2] Common questions about SHA2 and Windows.
[3] OpenSSL 0.9.8 Branch Release notes
[4] Bug 222179 - User preferences should control ciphers used when sending encrypted S/MIME messages
[5] iKey 4000 Specifications
[6] eToken 5100 Specifications
[7] Verified In-House
[8] IBM Notes SHA2 Support
[9] IBM Domino Planned SHA-2 Support
[10] IBM HTTP Server
[11] IBM z/OS
[12] GnuTLS
[13] .NET Security Blog
[14] Security Advisory 2949927 (SHA-2 Hash Support for Kernel Drivers - Currently Retracted)
[15] SHA-2 Signed Executables Windows Vista & Server 2008
[16] VSTO Runtime Update to Address “Unknown Publisher” for SHA256 Certificates
[17] Digital Certificate Requirements (TechNet)
[18] Mozilla NSS 3.8 Release Notes
[19] Java 1.4.2 Release Notes
[20] Availability of SHA-2 Code Signing Support for Windows 7 and Windows Server 2008 R2
[21] Add recognition of SHA-2 hashes when verifying S/MIME messages
[22] Thunderbird 38 Release Notes
[23] MYSQL 5.5 Release Notes
[24] PostgreSQL 8.1 Release Notes
[25] PostgreSQL 8.2 Release Notes
[26] PM62842: Web Services Security Runtime Update to Support SHA-2 Signature Algorithms
[27] Oracle WebLogic - Configuring SSL
[28] Certificate Requirements for Federation Servers
[29] Release Notes for the Cisco ASA 5500
[30] App Transport Security Technote
Related Articles
Инструмент инвентаризации сертификатов (CIT)
Сканируйте конечные точки, чтобы найти все ваши сертификаты.
Войти / ЗарегистрироватьсяТест конфигурации SSL
Проверьте установку сертификата на наличие проблем и уязвимостей SSL.