浏览器停止支持SHA-1算法，我国用户如何应对？

概述

SHA-1算法曾广泛应用于TLS/SSL、PGP、SSH、S/MIME及IPsec等多项安全协议，是互联网通信安全的重要基石。然而，自2005年密码学研究证实其破解速度较预期提升2000倍后，该算法的安全性持续受到质疑。尽管破解SHA-1仍需极高成本，但随着计算能力指数级增长与硬件成本降低，其抗攻击能力逐年衰减，全球密码学界已形成共识：需由安全强度更高的SHA-2系列算法全面替代SHA-1，以应对日益严峻的安全威胁。

各浏览器的响应

为推动安全协议升级，主流浏览器厂商已陆续公布SHA-1弃用计划。微软率先明确时间表：自2016年1月1日起，所有Windows受信任的根证书颁发机构（CA）须停止签发SHA-1算法的SSL证书及代码签名证书；针对SSL证书，Windows系统将于2017年1月1日起彻底停止支持SHA-1证书，要求此前签发的证书必须替换为SHA-2证书；代码签名证书方面，系统自2016年1月1日起不再接受无时间戳的SHA-1签名代码，但保留对已加RFC3161时间戳的历史代码的支持，直至潜在攻击风险显现。

Google则通过渐进式策略引导用户，在Chrome 39版本中逐步降低SHA-1证书的安全指示，后续版本持续收紧政策，最终对使用SHA-1证书（有效期至2016年）的站点显示黄色警告。Mozilla同步宣布，将于2016年1月1日前停止发放SHA-1证书，2017年1月1日后不再信任此类证书。Opera明确支持Google的路线，而Safari团队暂未公开表态，持续观察行业动态。

我国用户面临的特殊挑战

尽管微软已终止Windows XP系统服务支持，我国仍有约2亿用户依赖XP系统，其中超300万Windows XP SP2用户因系统限制无法支持SHA-2签名算法，低端手机用户群体规模更为庞大。景安网络作为国内SSL服务提供商，曾代表中国用户在国际CA浏览器论坛2014北京秋季会议上呼吁厂商关注本土国情，提出针对性解决方案。然而，全球互联网安全协同升级的大趋势下，SHA-1算法淘汰已成必然，我国用户需直面兼容性与安全性的双重挑战。

景安网络的应对建议

针对尚不支持SHA-2算法的Windows用户，景安建议务必在2016年12月31日前升级至XP SP3版本或彻底弃用XP系统。SSL证书用户需及时排查证书签名算法：通过浏览器地址栏安全锁图标，依次点击“查看证书信息—详细信息—签名算法”，即可确认当前证书所使用的算法类型。

仍在使用SHA-1签名算法的网站，需密切关注各浏览器更新时间表，优先更换为SHA-2证书。景安网络自2011年起已支持SHA-2证书签发，用户下单时可自主选择算法类型，且其PKI系统将持续升级，实现从中级根证书到用户证书的全链SHA-2支持。同时，景安可为所有SSL用户提供定制化技术支持与咨询服务，确保证书升级过程无缝衔接。