Бюлетина SC53, отнасяща се до отхвърляне на подписите SHA-1 OCSP, беше приета.

CA/B Forum, регулаторният орган в сектора на SSL сертификатите, прие с мнозинство бюлетина SC53. Подписите SHA-1 OCSP вече не се поддържат.

Протоколът за състояние на онлайн сертификати (OCSP) е интернет протокол, използван за получаване на информация за състоянието на отнемане на цифров сертификат X.509.

Хеширащият алгоритъм SHA-1, използван за подписите, не е достатъчно силен.

Отдавна е забранено да се използват частни ключове за директно подписване на OCSP отговори с помощта на SHA-1.

Въпреки това частните ключове, съответстващи на делегираните OCSP респонденти, все още могат да се използват за подписване на OCSP отговори с помощта на алгоритъма SHA-1.

Какво прави новата бюлетина SC53?

Новата бюлетина SC53 внася следните промени в документа „Основни изисквания“:

• Въведен е раздел 7.1.3.2.1, в който се посочва, че даден удостоверяващ орган вече не може да подписва OCSP отговори с помощта на алгоритъма SHA-1.
• Полето producedAt за ResponseData в отговор на OCSP ТРЯБВА да съдържа дата преди 2022-06-01 00:00:00 UTC.

Абонирайте се за нашите публикации, за да сте в крак с най-новото в областта на SSL.