Comodo Brasil - Certificados SSL - www.comodobr.com
Alguma dúvida?
DuvidaSaiba como falar
com os nossos
atendentes
.
SetaSaiba mais
Perdeu o seu Duvidacertificado?
Solicite aqui a sua reposição gratuita.
SetaClique aqui
Renove seu Certificado
RenovaçãoSaiba como renovar o seu certificado.
SetaSaiba mais

Seus certificados e a transição para o algoritmo de hash SHA-2

Histórico

Os algoritmos de hash da família SHA foram desenvolvidos pelo Instituto Nacional de Padrões e Tecnologia (National Institute of Standards and Technology - NIST) e são utilizados por Autoridades Certificadoras (ACs) como a Comodo para assinar digitalmente os certificados que emitimos.

O mais popular dentre eles hoje é o SHA-1, que foi amplamente adotado pelas ACs como sucessor do algoritmo MD5, pois representava um avanço enorme em termos de segurança em criptografia. Agora, devido à constante necessidade de fortalecer processos e técnicas com a crescente sofisticação da informática, é hora de o SHA-1 ser substituído por seu sucessor, o SHA-2.

Esta página delineará as datas importantes relativas à extinção do SHA-1 nos próximos anos e o papel da Comodo em garantir que nossos clientes e parceiros tenham uma transição sem percalços para os certificados baseados no SHA-2.

O plano de extinção da Microsoft para o SHA-1 (todos os produtos Microsoft, inclusive Windows® e Internet Explorer®)

1 de janeiro de 2016

A Microsoft para de confiar em Certificados de Code Signing que utilizem SHA-1

1 de janeiro de 2017

A Microsoft para de confiar em Certificados SSL que utilizem SHA-1

Julho de 2015

A Microsoft fará uma reavaliação e poderá antecipar as duas datas acima

A declaração oficial da Microsoft encontra-se reproduzida ao final desta página.

Para saber sobre o plano do Google, clique aqui.

Como isso me afetará?

Se você tem um certificado com algoritmo SHA-1 e expiração após as datas relacionadas acima, você deve substituí-lo com uma versão SHA-2 antes do prazo final. A Microsoft® continuará a confiar em certificados com algoritmo SHA-1 até as datas acima, mas não depois. Após essas datas, softwares da Microsoft como Internet Explorer® e Windows® rejeitarão os certificados de assinatura de código e SSL que utilizem o algoritmo SHA-1.

A Microsoft foi a primeira a estabelecer um prazo de extinção para o SHA-1, mas é provável que outras empresas como Mozilla, Google, Apple e Opera façam o mesmo no futuro próximo. A Comodo e todas as outras Autoridades Certificadoras que fazem parte do Certificate Authority Security Council recomendam que seus clientes e parceiros comecem a planejar o upgrade de seus certificados para o SHA-2 o mais rápido possível.

O plano de transição da Comodo para o SHA-2

1o de abril de 2014

A Comodo continua com sua política de reemissão gratuita de certificados SSL.

Todos os clientes que possuam certificados SSL podem solicitar a reposição de seu certificado SSL com algoritmo SHA-1 por um equivalente SHA-2 através do link https://www.comodobr.com/ssl_reposicao.php ou diretamente na Comodo internacional, caso o certificado não tenha sido adquirido na Comodo Brasil.

Abril de 2014

A Comodo apresenta a opção de emissão em SHA-1 ou SHA-2.

Ainda que o algoritmo SHA-1 continue como default inicialmente, passaremos para o SHA-2 em pouco tempo e acabaremos por extinguir totalmente a opção de emissão com algoritmo SHA-1.

Abril de 2014

A Comodo só emitirá certificados Code Signing de 3 anos ou mais com algoritmo SHA-2.

Maio de 2014

A Comodo oferecerá a opção de reposição de seus certificados de Code Signing. O cliente poderá facilmente substituir seus certificados de Code Signing emitidos com SHA-1 com uma versão SHA-2.

1 de janeiro de 2016

A Comodo não emitirá mais novos certificados de Code Signing ou SSL com algoritmo SHA-1.

Esta data pode mudar dependendo do cronograma da Microsoft.

Observações sobre a compatibilidade do SHA-2

Segue uma lista dos softwares mais comuns com suporte para SHA-2:

  • Windows XP 3 e superior (inclusive Windows 8.1, 8.0 e Vista)
    Infelizmente, o XP SP2 e anteriores não têm suporte para SHA-2. Entretanto, a grande maioria de usuários do Windows XP já atualizaram para o SP3 e este número será insignificante quando chegarem os prazos. A Microsoft também declarou a extinção do XP em 2014, e não terá mais suporte para essa OS.

  • Windows Server 2003 e superior

  • Apple Mac OSX 10.5 e superior

  • Oracle Java 1.4.2 e superior

  • Mozilla Firefox 1.5 e superior

  • Opera 9 e superior

Se você tem dúvidas quanto a um software específico, sugerimos que entre em contato com o suporte do mesmo para saber se ele tem ou pretende oferecer suporte para SHA-2.

A Comodo tem um site de teste que utiliza um certificado gerado com algoritmo SHA-2. Você pode testar softwares e dispositivos nesta URL para tentar descobrir se há compatibilidade com SHA-2: https://sha256rsa.comodoca.com

Microsoft – Política de extinção do algoritmo SHA1

O texto a seguir, em itálico, foi traduzido do link
http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements-version-2-0.aspx, de 5 de março de 2014.

Haverá cronogramas diferentes para a extinção de certificados SSL e de Code Signing baseados no algoritmo SHA1.

  • As ACs devem parar de emitir novos certificados SSL e de Code Signing com SHA1 SSL até 1º de janeiro de 2016.

  • No caso dos certificados SSL, o Windows não aceitará mais certificados SHA1 a partir de 1º de janeiro de 2017. Isso significa que qualquer certificado SSL SHA1 emitido antes ou após este aviso deve ser substituído por um equivalente utilizando SHA2 até 1º de janeiro de 2017.

  • No caso dos certificados de Code Signing, o Windows não aceitará mais códigos assinados com SHA1 nem certificados SHA1 com time stamp (selo cronológico) posterior a 1º de janeiro de 2016. Código assinado com SHA1 com time stamp de uma Time Stamp Authority RFC 3161 de antes de 1º de janeiro de 2016 será aceito até o momento em que a Microsoft decidir que a vulnerabilidade é muito grande.

© 2014 Microsoft Corporation.

Leitura adicional

https://casecurity.org/2014/01/30/why-we-need-to-move-to-sha-2/
https://casecurity.org/2013/12/16/sha-1-deprecation-on-to-sha-2/

Entre em contato com nosso suporte para tirar dúvidas técnicas ou de instalação:

Atendimento online
Utilize os links no topo desta página

Email
suporte@comodobr.com

Telefones:

(21) 3527-0171  /  (11) 3136-0536  / (11) 4063-7724 /  (31) 4062-7422  /  (41) 4063-8177

Política de Reposição:
Se houver algum erro no seu CSR ou na instalação do seu certificado, clique aqui para solicitar a reposição do seu certificado ou entre envie um e-mail com a CSR nova e o número do pedido para validacao@comodobr.com. Lembre-se de que apenas fazemos o reembolso de certificados até 30 dias após a emissão.

WebTrust WebTrust EVSite Seguro