关于GlobalSign即将停止签发SHA-1代码签名的公告
尊敬的客户/合作伙伴:
GlobalSign的代码签名证书产品将面临两个主要变化,如下:
一,即将停止SHA-1代码签名的签发
GlobalSign将自2020年6月29日起不再提供SHA1哈希算法的代码签名证书。
在2020年6月29日开始,GlobalSign在此之前由于某些旧的操作系统在代码签名证书验证中不支持较新的SHA-2算法,因此GlobalSign为客户提供了SHA1和SHA2两种算法的选项。将通过SHA-1证书,转换到2021年元月1日停止使用SHA-1内置服务。如果用户现有的SHA-1证书有效期如果超过2021年1月1日,则需要重新提交。
(注:GlobalSign将在CAB论坛所宣布的CA机构停止使用SHA-1算法和逐步服务的终止日期2021-1-1之前强制实施)
二,内核模式驱动程序签名进程-KCMS证书到期
在过去,要在Windows内核模式下执行的客户签名软件或驱动程序可以使用任何GlobalSign代码签名证书以及链接回GlobalSign R1根的微软交叉证书。此交叉证书将于2021年4月到期,微软将不会续订任何此类证书。新的使用方式是需要注册微软硬件开发计划,注册过程需要客户使用公共信任的有效EV代码签名证书对文件进行签名。
关于以上这两个变化的更多信息,请参见以下说明:
SHA-1代码签名的生命周期终止
背景
截至2020年6月29日,GlobalSign已允许客户签发使用SHA-1哈希算法签名的代码签名证书。由于Microsoft旧版操作系统不支持SHA-2签名软件,因此我们继续允许SHA-1代码签名发布。
在2019年,Microsoft完成了对旧操作系统中SHA-2的完全支持。
此外,CAB论坛关于代码签名的指南现在要求CA必须在2021年1月1日之前停止颁发SHA-1代码签名证书和SHA1时间戳。
变化或影响
从2020年6月29日开始-GlobalSign将停止颁发SHA-1代码签名证书。在该日期之后,只能订购证书并与SHA-2一起重新颁发。
从2021年1月1日起生效-将不再提供SHA1时间戳记。
经常问的问题
我目前拥有SHA-1代码签名证书,对我有何影响?
如果您的证书在2021年1月之前到期,则在续订证书时应选择SHA-2颁发选项。如果您的证书仅在2021年1月1日之后过期,则应在此之前使用SHA-2重新颁发证书。该日期与SHA-1签名证书的到期日期不符,因为已颁发的证书仍然有效,但需要SHA-1时间戳进行签名。
我不确定我当前的代码签名证书是SHA-1还是SHA-2?
自2018年以来,必须在订购期间明确选择SHA-1的选项。除非您这样做,否则将向SHA-2颁发您的证书。如有疑问,可以在证书详细信息中选中“签名哈希算法”和“签名算法”字段。
我以前签名的软件会受到影响吗?
如果启用了签名的长期有效,则先前签名的软件不受影响。对于大多数签名应用程序,这是默认设置。
我有依赖SHA-1签名应用程序的旧应用程序
从2021年1月1日开始,没有CA能够提供公共信任的SHA1代码签名证书。建议您更新系统,以便可以处理SHA-2哈希。