Принят Ballot SC53, связанный с отказом от SHA-1 OCSP-подписей | LeaderSSL

Новость

Принят Ballot SC53, связанный с отказом от SHA-1 OCSP-подписей

CA/B Forum, регулятор в индустрии SSL-сертификатов, принял большинством голосов новый Ballot SC53. Теперь SHA-1 OCSP-подписи больше не поддерживаются.

OCSP (Online Certificate Status Protocol) или протокол состояния сетевого сертификата — это интернет-протокол, используемый для получения статуса отзыва цифрового сертификата X.509.

Алгоритм хеширования SHA-1, применяемый для подписей, недостаточно устойчив.

Уже давно был введен запрет на использование приватных ключей для прямой подписи OCSP-ответов с помощью SHA-1.

Однако приватные ключи, соответствующие делегированным ответчикам OCSP, по-прежнему могли использоваться для подписи OCSP-ответов с помощью алгоритма SHA-1.

Что делает новый Ballot SC53

Новый Ballot SC53 вносит следующие изменения в документ «Baseline Requirements»:

  • Появился пункт 7.1.3.2.1, гласящий, что удостоверяющий центр больше не может подписывать OCSP-ответы с помощью алгоритма SHA-1.
  • Поле producedAt для ResponseData в OCSP-ответе должно содержать дату до 2022-06-01 00:00:00 UTC.

Подписывайтесь на наши обновления, чтобы быть в курсе новостей в сфере SSL.  


Готовы попробовать?


Да! Попробовать бесплатно!

Остались вопросы?
Звоните! 8 (800) 555-5737