微软正式移除IE与Edge对SHA-1凭证的支援

示意图，与新闻事件无关。

Microsoft

微软在本周二（5/9）的Patch Tuesday中，更新了IE 11与Microsoft Edge浏览器，在这两大浏览器上封锁了任何採用SHA-1加密凭证的网站，同时在网页上显示「凭证错误」（Certificate error）的讯息。

SHA-1为美国国安局（NSA）在1995年所发表的加密杂凑函数，可用来加密及验证档案身分，理论上每个以SHA-1加密的档案都会有专属的杂凑值，但近年来陆续有研究人员宣称SHA-1含有一可造成碰撞攻击的安全漏洞，允许骇客打造拥有同样杂凑值的文件，以假乱真。Google则在今年2月宣布已成功破解SHA-1，实际执行了碰撞攻击。

微软强调，这并不是IE或Edge浏览器的安全漏洞，只是各界已不再鼓励採用基于SHA-1的数位凭证，并建议客户升级到SHA-2，此外，Windows 10 Creators Update的浏览器预设值便已封锁了SHA-1。

虽然显示了凭证错误讯息，同时警告造访这些採用SHA-1凭证的网站可能会招致资料遭窃等问题，但微软浏览器仍旧会放行那些坚持造访相关网站的流量。

在微软之前，Google Chrome已于今年1月释出的Chrome 56便已终止对SHA-1凭证的支援，而Mozilla也在今年2月释出的Firefox 52全面封锁採用SHA-1凭证的网站。根据Mozilla今年2月的统计，仍使用SHA-1而未升级至SHA-2的网站佔不到整体网路流量的0.1%。