Применимость SHA-256
25 февр. 2025 г.
Применимость SHA-256
Введение
SHA-2 — это набор криптографических хэш-функций, включающий в себя SHA-224, SHA-256 и SHA-512. Число 256 в SHA-256 представляет количество бит в выводе хэша или дайджеста во время выполнения хэш-функции. Данные наборы хэш-функций поддерживаются на в каждом случае. Данная статья посвящена совместимости SHA-256 с различными софтверными платформами и операционными системами. OS X 10.5+ и Windows XP SP3+ поддерживают SHA-256 по дефолту.
Ознакомьтесь с нашей статьёй Хэш-функции для лучшего понимания их работы при валидации сертификатов и документов.
Для понимания политики GlobalSign’s в отношении выпуска SHA-256, а также для изучения важных дат, установленных Microsoft, Google и Mozilla, пожалуйста ознакомьтесь со статьёй Выпуска SHA-256.
Для приобретения сертификата SHA-256, обратитесь к представителям GlobalSign.
Индекс:
- Поддержка ОС, браузеров и серверов
- Поддержка фаерволов
- Инструменты, библиотеки, фреймворки.
- Поддержка баз данных
- Поддержка ОС в деталях
- E-Mail-клиенты
- Подпись документов
- Подпись кода Windows
- Совместимость SafeNet iKey / eToken
- Мейнфрейм
- Поддержка Citrix
- Сервисы
Поддержка ОС, браузеров и серверов
| Минимальная версия ОС (для SSL) |
Минимальная версия ОС (для клиентских сертификатов) |
|
|---|---|---|
| Apple OS X | 10.5+ | 10.5+ |
| Apple iOS | 3.0+ (Required in iOS 9+) [30] |
3.0+ |
| Android* | 1.0+ (1.6 / 2.2) | 1.0+ |
| Blackberry | 5.0+ | 5.0+ |
| ChromeOS | All Versions | All Versions |
| Windows [1] [2] | XP SP3+ | XP SP3+ |
| Windows Phone | 7+ | 7+ |
| Windows Server | 2003 SP2 +MS13-095 | 2003 SP2 +MS13-095 |
| Минимальная версия браузера | ||
| Chrome** [7] | 1.0+ (38+) | |
| Firefox [7] | 1.0+ | |
| Internet Explorer [7] | 6+ (на ОС, совместимой с SHA-2) |
|
| Konqueror | 3.5.6+ | |
| Mozilla [7] | 1.4+ | |
| Netscape [7] | 7.1+ | |
| Opera [7] | 6.0+ | |
| Safari | 3+ (начиная с OS X 10.5) |
|
| Минимальная версия сервера | ||
| Active Directory Federation Server (AD FS) [28] |
2.0+ |
|
| Apache HTTP Server*** |
зависит от версии OpenSSL или |
|
| Apache Tomcat |
зависит от версии Java |
|
| IBM Domino Server [9] |
9.x с фикс-паком |
|
| IBM HTTP Server [10] |
Любая версия с GSKit 7.0.4.14 |
|
| IBM WebSphere Server [26] |
7.0.0.25 / 8.0.04 с PM62842 |
|
| Microsoft Exchange Server |
зависит от версии on Windows Server |
|
| NGINX |
зависит от версии OpenSSL |
|
| Oracle Wallet Manager |
11.2.0.1+ |
|
| Oracle Weblogic**** [27] |
10.3.3+ |
|
* Android имеет техническую возможность работать с сертификатами SHA-256, начиная с версии 1.0. На практике некоторые пользователи испытывают проблемы с валидацией сертификатов, имеющих кросс-сертификаты, помогающие связать цепочку с альтернативными корневыми сертификатами. Версия 1.6 улучшила положение некоторых пользователей, окончательно решив проблему лишь к версии 2.2.
** Chrome может поддерживать сертификаты SHA-2 начиная с версии 1.0, тем не менее, до версии 37 это зависит от операционной системы. Например, на Windows Server 2003 без апдейта MS13-095 или на XP SP2 Chrome не будет соединяться со страницами, использующими сертификаты SHA-2. После обновления MS13-095 к Server 2003 или SP3 к Windows XP Chrome сможет поддерживать SHA-2.
Начиная с версии 38 и выше Chrome может поддерживать сертификаты SHA-2 независимо от ОС, даже на системах типа Server 2003 без MS13-095 applied.
*** Apache 2.0 имеет встроенный модуль mod_ssl по умолчанию. Версии до to 2.0 требуют ручную установку mod_ssl для поддержки SSL в принципе. Альтернативой является модуль mod_gnutls, использующий GnuTLS вместо библиотек OpenSSL.
**** Oracle WebLogic Server 10.3.3 и выше имеет JSSE для поддержки соединений и сертификатов SSL/TLS. Более ранние версии оперируют кастомными расширениями, что в наши дни является устаревшим решением.
10.3.3 — первая версия, официально поддерживающая JSSE, его можно включить зайдя в консоль админа и выбрав Окружение> Серверы> Имя Сервера > Конфигурация> SSL > Продвинутые настройки> Использовать JSSE SSL. Сохраните изменения и перезагрузите сервер. Версии до 10.3.3 могут включить JSSE вручную, но официально это не поддерживается Oracle.
Поддержка фаерволов Support
| Минимальная версия | |
|---|---|
| Cisco ASA 5500 [29] | 8.2 (3.9) |
Инструменты, библиотеки, фреймворки
| Минимальная версия | |
|---|---|
| Java [19] | Java 1.4.2+ |
| Mozilla NSS [18] | 3.8+ |
| OpenSSL* [3] | 0.9.8 / 0.9.8o+ |
| GNUTLS [12] | 1.7.4+ |
| .NET FX[13] | 3.5 SP1+ |
Поддержка SHA-2 была представлена в OpenSSL 0.9.8, но она не включена по дефолту с SSL_library_init(). В версии 0.9.8 хэш-функции SHA-2 должны быть вызваны самостоятельно или использованием OpenSSL_add_all_algorithms(), что может быть не предпочтительно. OpenSSL 0.9.8o включает алгоритмы SHA-2 в базовой конфигурации.
Поддержка баз данных
|
|
Минимальная версия |
| MYSQL[23] | 5.5.5+ |
|---|---|
| PostgreSQL [24] [25] | 8.1 / 8.2* |
* Модуль pgcrypto для PostgreSQL представляет поддержку семейства алгоритмов SHA-2 начиная с релиза 8.1, но только для исполнения standalone. Версия 8.2 включила функции SHA-2 модуля pgcrypto в ядро PostgreSQL, позволяя данным хэшам работать с PostgreSQL вне зависимости от версии OpenSSL.
Поддержка ОС в деталях
| SSL-сертификаты (сторона клиента) |
SSL-сертификаты (сторона сервера) |
|
Подпись кода | |
|---|---|---|---|---|
| Windows XP (SP1, SP2) | ✗ | N/A | ✗ | ✗ |
| Windows XP SP3 | ✓ | N/A | частично* | частично** |
| Windows Vista | ✓ | N/A | ✓ | частично** |
| Windows 7 [20] | ✓ | N/A | ✓ | ✓ |
| Windows 8 | ✓ | N/A | ✓ | ✓ |
| Windows 10 | ✓ | N/A | ✓ | ✓ |
| Windows Server 2003 / 2003 SP1 | ✗ | ✗ | ✗ | ✗ |
| Windows Server 2003 SP2 + MS13-095 | ✓ | ✓ | ✓ | ✗ |
| Windows Server 2008 | ✓ | ✓ | ✓ | частично** |
| Windows Server 2008 R2 [20] | ✓ | ✓ | ✓ | ✓ |
| Windows Server 2012 & 2012 R2 | ✓ | ✓ | ✓ | ✓ |
| Windows Mobile 5 | ✗ | N/A | ✗ | N/A |
| Windows Mobile 6 | ✗ | N/A | ✗ | N/A |
| Windows Phone 7 | ✓ | N/A | ✓ | N/A |
| Windows Phone 8 | ✓ | N/A | ✓ | N/A |
Примечания к частичной поддержке:
* S/MIME:
- Outlook на Windows XP SP3 может использовать сертификаты, подписанные SHA-256, но не может валидировать e-mail, подписанный с использованием SHA-256 .
- Outlook по умолчанию подписывает в SHA1, даже при наличии сертификата в SHA2 — требуется включить нужный алгоритм подписи в настройках.
** Подпись кода:
- Код может быть подписан сертификатом в алгоритме SHA2 в любой ОС с полной или частичной поддержкой данной подписи.
- На некоторых платформах отсутствует поддержка драйверов, подписанных в SHA2. Они не будут устанавливаться на ОС с частичной поддержкой SHA2.
E-Mail-клиенты
Алгоритм хеширования подписи в самом сертификате не зависит от хэша подписи, помещенного в электронное письмо. Например, Outlook 2003 на XP SP3 может использовать сертификат, подписанный с помощью SHA-256, для подписи зашифрованных email. Но подпись в электронном письме будет использоваться в SHA1.
| Проверка email, подписанного в SHA-1 |
Проверка email, подписанного в SHA-256 |
Отправка email, подписанного в SHA-1 |
Отправка email, подписанного в SHA-256 |
|
|---|---|---|---|---|
| Mozilla Thunderbird 1 - 4 [21] | ✓ | ✗ | ✓ | ✗ |
| Mozilla Thunderbird 5 - 37 [4] [21] | ✓ | ✓ | ✓ | ✗ |
| Mozilla Thunderbird 38+ [22] | ✓ | ✓ | ? | ✓ |
| IBM Notes 8 [8] | ✓ | ✗ | ✓ | ✗ |
| IBM Notes 9 [8] | ✓ | ✓ | ✓ | ✓ |
| Microsoft Entourage 2004 [17] | ✓ | ✗ | ✓ | ✗ |
| Microsoft Entourage 2008 [17] | ✓ | ✓ | ✓ | ✓ |
| Microsoft Outlook 2003 & 2007 on XP SP3 [1] [2] | ✓ | ✗ | ✓ | ✗ |
| Microsoft Outlook 2007 on Windows Vista [1] [2] | ✓ | ✓ | ✓ | ✓ |
| Outlook for Mac 2011 [17] | ✓ | ✓ | ✓ | ✓ |
Включение SHA-1 в Outlook
Outlook 2003: Инструменты > Опции> Настройки > Безопасность > Настройки > Хэш-алгоритм > SHA1
Outlook 2007, 2010, 2013: Файл > Опции > Центр доверия > Настройки центра доверия > Безопасность E-Mail > Настройки > Хэш-алгоритм > SHA1
Подпись документов
| Подпись SHA1 с сертификатом SHA-256 | Подпись SHA2 с сертификатом SHA-256 | Валидация подписи SHA2 | |
|---|---|---|---|
| LibreOffice 4[7] | ✓ | ✗ | ✗ |
| Microsoft Office 2003, 2007[7] | ✓ | ✗ | ✗ |
| Microsoft Office 2010, 2013 | ✓ | ✓ | ✓ |
| Adobe Acrobat 8.0+ | ✓ | ✓ | ✓ |
| Adobe Reader 8.0+ | ✓ См примечания |
✓ См примечания |
✓ |
Примечание: Adobe Reader 8+ может подписывать документы с помощью Digital ID, если этот функционал был включён в Adobe Acrobat Professional.
Adobe Acrobat и Adobe Reader совместимы с сертификатами SHA-256 с версии 8.0, но всё ещё ведёт подпись по умолчанию в SHA1. С версии 9.1 Acrobat & Reader будет предпочитать SHA-256 для подписи, если возможно. В ином случае будет подписывать в SHA1. Подписи в SHA-2 могут быть также предпочтительны и в версиях раньше 9.1 с помощью редактирования реестра.
Цифровые подписи, поставленные с использованием более ранних версий Microsoft Office, могут не быть обратно-совместимыми с более старыми версиями. Совместимость может быть указана вручную.
Office 2003 - 2010 работает с сертификатами SHA-2, но применяет подписи в SHA1. Office 2013 использует SHA2 в качестве дефолтного хэша подписи, если это доступно. В Office 2010 и 2013 вы можете указать хэш подписи в реестре.
Подпись кода Windows
| Исполняемые файлы | Драйверы | VBA макросы: Office 2003, 2007 |
VBA макросы: Office 2010 |
VBA макросы: Office 2013 |
|
|---|---|---|---|---|---|
| Windows XP (SP1, SP2) | ✗ | ✗ | ✗ | ✗ | N/A |
| Windows XP SP3 | ✓ | ✗ | ✗ | ✓ | N/A |
| Windows Vista [15] | ✓ | ✗ | ✗ | ✓ | N/A |
| Windows 7 [20] | ✓ | ✓ | ✗ | ✓ | ✓ |
| Windows 8 | ✓ | ✓ | ✗ | ✓ | ✓ |
| Windows 10 | ✓ | ✓ | ✗ | ✓ | ✓ |
Office 2010 на Windows 7 требует хотфикс kb 2598139 для добавления поддержки SHA-256 для сертификатов подписи кода.
Windows 7 и Windows Server 2008 R2 требуют kb 3033929 для валидации драйверов, подписанных в SHA-2. Данный апдейт недоступен для XP, Vista, 2003, или 2008.
За более детальной информацией касательно поддержки хэш-алгоритмов сертификатов и дайджеста в Windows простите статью Поддержка хэш-алгоритмов в подписи кода Windows.
| Минимальная версия | |
|---|---|
| Visual Studio Tools for Office (VSTO) [16] | 10.0.50325 |
Совместимость SafeNet iKey / eToken
| Работа с сертификатом SHA2 | Подпись SHA1 | Подпись SHA2 | |
|---|---|---|---|
| iKey 4000 [5] | ✓ | ✓ | ✗ |
| eToken 5100 [6] | ✓ | ✓ | ✓ |
Мейнфрейм
| Минимальная версия | |
|---|---|
| IBM z/OS [11] | v1r10 |
Поддержка Citrix
| Минимальная версия | |
|---|---|
| Citrix Receiver | Варьируется – см. PDF |
Ссылки:
[1] SHA2 and Windows.
[2] Common questions about SHA2 and Windows.
[3] OpenSSL 0.9.8 Branch Release notes
[4] Bug 222179 - User preferences should control ciphers used when sending encrypted S/MIME messages
[5] iKey 4000 Specifications
[6] eToken 5100 Specifications
[7] Verified In-House
[8] IBM Notes SHA2 Support
[9] IBM Domino Planned SHA-2 Support
[10] IBM HTTP Server
[11] IBM z/OS
[12] GnuTLS
[13] .NET Security Blog
[14] Security Advisory 2949927 (SHA-2 Hash Support for Kernel Drivers - Currently Retracted)
[15] SHA-2 Signed Executables Windows Vista & Server 2008
[16] VSTO Runtime Update to Address “Unknown Publisher” for SHA256 Certificates
[17] Digital Certificate Requirements (TechNet)
[18] Mozilla NSS 3.8 Release Notes
[19] Java 1.4.2 Release Notes
[20] Availability of SHA-2 Code Signing Support for Windows 7 and Windows Server 2008 R2
[21] Add recognition of SHA-2 hashes when verifying S/MIME messages
[22] Thunderbird 38 Release Notes
[23] MYSQL 5.5 Release Notes
[24] PostgreSQL 8.1 Release Notes
[25] PostgreSQL 8.2 Release Notes
[26] PM62842: Web Services Security Runtime Update to Support SHA-2 Signature Algorithms
[27] Oracle WebLogic - Configuring SSL
[28] Certificate Requirements for Federation Servers
[29] Release Notes for the Cisco ASA 5500
[30] App Transport Security Technote
Related Articles
Инструмент инвентаризации сертификатов (CIT)
Сканируйте конечные точки, чтобы найти все ваши сертификаты.
Войти / ЗарегистрироватьсяТест конфигурации SSL
Проверьте установку сертификата на наличие проблем и уязвимостей SSL.