Я знаю, что сертификаты сервера SHA-1, которые связаны с сертификатами корневого центра сертификации в рамках доверенной программы Microsoft, не поддерживаются Edge и IE11 в Windows 10, по состоянию на пару лет назад.
У нас есть веб-ферма IIS, на которой размещены наши системы ASP.NET. Сервер использует корневой сертификат, который, хотя и был сгенерирован с использованием SHA-1, не является частью доверенной программы и, следовательно, не имеет проблем при использовании для безопасного подключения к нему; проблема в том, что некоторые из наших приложений требуют аутентификации с помощью смарт-карты, которая, как только им предлагается ввести PIN-код, Edge / IE11 прерывает соединение.
Как будто Edge / IE11 не разрешит передачу сертификатов на основе SHA-1.
Одно странное предостережение заключается в том, что если я заставляю IE11 использовать только устаревшие версии TLS (например, TLS 1.0), то он работает, поскольку сертификат смарт-карты передается и используется для аутентификации. Если я заставлю IE11 использовать TLS 1.2, он потерпит неудачу.
С помощью certutil Я могу определить, что сертификат клиента смарт-карты был создан с использованием SHA-1, а также подписан сертификатом корневого центра сертификации, используемым на сервере.
IE11 отлично работает с Windows 7, поэтому я предполагаю, что политика безопасности влияет только на версии W10.
Пропустил ли я объявление о том, что это также повлияет на сертификаты клиентов? Первоначальное объявление ясно давало понять, что это не так:
Как это повлияет на сертификаты аутентификации клиентов SHA-1?
Обновление середины 2017 года не помешает клиенту, использующему подписанный сертификат SHA-1, использовать при аутентификации клиента.
Меня не удивляет, что клиентские сертификаты, использующие SHA1, больше не работают. Клиентские сертификаты - это функция IIS, которая никогда не использовалась, и Microsoft больше не тратит на это много времени. На браузер Edge приходится около 5% доли рынка браузеров, а Chrome никогда не поддерживал PIV. Аутентификация PIV в браузере была заменена более новой технологией, такой как FIDO U2F и FIDO2. Если у вас есть приложение, для которого требуется высокий уровень безопасности, вам не следует использовать смарт-карты с сертификатами SHA1, а следует перейти на более новую технологию. Если вы хотите продолжать использовать протокол PIV, я бы посмотрел на Юбикей 5 или PivKey. Если вы используете Yubikey 5, он поддерживает PIV и FIDO2, поэтому миграция должна быть простой и не потребует нового токена. Если вы не хотите много писать, Yubikey также поддерживает аутентификацию Yubikey, для которой вы можете кодировать всего за 5 строк.
PIVKeys стоит около 20 долларов каждый в зависимости от формфактора. Yubikey 5 стоит от 45 долларов. Токены FIDO стоят около 20 долларов.
Если вы хотите продолжать использовать PIV, вам нужно будет повторно выпустить все свои смарт-карты, однако корневой сертификат все равно должен быть в хорошем состоянии, поскольку ему напрямую доверяет компьютер (если он находится в хранилище корневых сертификатов), и поэтому версия хэша не имеет значения. .