Microsoft Security Research & Defense publicerade precis en bloggpost om Security Advisory 2880823: Recommendation to discontinue use of SHA-1 Den ursprungliga security advisory:n återfinns här.

I korthet handlar den om att Microsoft inte längre kommer att betrakta certifikat som utfärdas efter den första januari 2016 som giltiga ifall de då fortfarande använder hashfunktionen SHA-1.

Specifikt för TLS-servercertifikat gäller att de inte kommer att betraktas som giltiga ifall de använder SHA-1 från och med första januari 2017. Befintliga servercertifikat med SHA-1 måste alltså ersättas innan dess.

För signerad kod och kodsigneringscertifikat är det mer bråttom. Kod signerad med ett kodsigneringscertifikat som använder SHA-1 och som saknar tidsstämpel kommer inte att betraktas som giltig längre från och med första januari 2016. Det finns en icke-specificerad tidsfrist för kod som tidsstämplats i samband med signeringen, men det är nog säkrast att ersätta såväl själva kodsigneringscertifikaten som befintliga signerade binärer innan 2016. Se i alla fall till att så fort som möjligt börja tidsstämpla i samband med signering.

Exakt hur detta drabbar svenska e-legitimationer och tjänstekort, som ju inte lyder under Windows Root Certificate Program, är ännu oklart. Det återstår även att se hur övriga leverantörer som Apple, Google och Mozilla Foundation ställer sig till detta.

Mer information om Microsofts nya policy för certifikatutfärdare, som security advisory:n pekar på, återfinns här. De uppdaterade tekniska kraven för Windows Root Certificate Program återfinns här.