Microsoft heeft een policy verandering aangekondigd (zie http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-authenticode-code-signing-and-timestamping.aspx).
Vanaf 1 januari 2016 is het voor root certification authorities niet meer toegestaan om X.509 certificates uit te geven volgens het SHA-1 hashing algoritme voor gebruik van SSL en code signing. Deze SHA-1 certificates worden niet meer als veilig beschouwd. Overigens is deze policy verandering breder. Ook de internetbrowser Chrome bijvoorbeeld, geeft nu al een waarschuwing bij SHA-1 certificates. De kans is groot dat browsers binnenkort geen websites meer accepteren die gebruik maken van SHA-1 certificates.
De Microsoft certification authority in Windows geeft ook standaard certificates uit volgens het SHA-1 hashing algoritme. Weliswaar kan bij nieuwere versies van Windows tijdens de installatie meteen gekozen worden voor het SHA-2 hashing algoritme, maar dat is zeker niet altijd gedaan. Duidelijk zal zijn dat het geen gewenste situatie meer is om het SHA-1 hashing algoritme te gebruiken.
Deze blog beschrijft hoe kan worden ingesteld dat de Microsoft certification authority in het vervolg certificates uitgeeft volgens het SHA-2 algoritme met een hashwaarde van 256 bits. Dit is mogelijk vanaf Windows server 2008. Deze certificates worden wel als veilig beschouwd. Uiteraard blijven bestaande certificates wel SHA-1 certificates. Door deze certificates opnieuw uit te geven na de aanpassing, worden het ook SHA-2 certificates.
Uitvoering
De certification authority geeft nu SHA-2 certificates uit, maar het huidige root certificate gebruikt nog steeds het SHA-1 hash algorithme. Dit kan als volgt aangepast worden:
Controle
Op de volgende manier kan worden gecontroleerd of de aanpassing succesvol is: