Certificati SSL Aiuto

Informazioni sull'obbligo della funzione hash SHA-2

Tutte le chiavi dei certificati SSL che utilizzano la vecchia funzione hash SHA-1 devono essere immediatamente reimpostate per consentire l'impiego della funzione SHA-2. La funzione SHA-1 è potenzialmente poco sicura e può compromettere l'efficacia del certificato SSL.

Informazioni aggiuntive

I certificati SSL codificano (o criptano) le comunicazioni tra il server del tuo sito Web e il browser dei tuoi visitatori, in modo che nessun altro possa comprendere le informazioni che si stanno scambiando. Questa interferenza impedisce a terzi di "origliare" la conversazione e acquisire informazioni che non desideri vengano divulgate, quali dati protetti, come il numero di carta di credito o di previdenza sociale. Questa operazione di codifica viene eseguita mediante una funzione hash.

Oltre che per la codifica di informazioni, la stessa funzione hash viene impiegata dai certificati di firma dei codici per "firmare" codice eseguibile nel momento in cui lo sviluppatore lo rilascia. Se il codice viene manomesso, la firma creata mediante la funzione hash non funziona e l'utente viene allertato quando tenta di eseguire tale codice.

La funzione hash utilizzata più di frequente fino al 23 dicembre 2013 era SHA-1; tale funzione è in circolazione sin dallo sviluppo dei primi certificati SSL, ovvero dalla metà degli anni novanta.

Tuttavia, con il diffondersi di computer sempre più potenti, le informazioni codificate mediante SHA-1 vengono decriptate con maggiore frequenza. Per questo motivo, Microsoft® sta promuovendo una nuova linea guida per il settore che impone a tutte le autorità di certificazione, incluso noi, di iniziare a usare SHA-2 come funzione hash predefinita. Anche Google fa parte del gruppo e il suo browser Chrome® inizierà presto ad allertare i visitatori circa problemi di sicurezza in presenza di certificati che impiegano SHA-1.

Il mio certificato deve utilizzare SHA-2?

I nuovi certificati emessi con data di scadenza posteriore al 1 gennaio 2017 possono usare solo SHA-2.

I certificati di firma dei codici con date di scadenza posteriori al 31 dicembre 2015 devono usare SHA-2, eccetto i certificati di firma dei codici SHA-1, che possono essere utilizzati per firmare file da utilizzare su Windows Vista e versioni precedenti di Windows. Per ulteriori informazioni, consulta l'articolo Microsoft Windows Enforcement of Authenticode Code Signing and Timestamping.

I certificati già emessi non devono iniziare a usare necessariamente SHA-2, tuttavia lo raccomandiamo vivamente. Il passaggio a SHA-2 migliora la sicurezza del server, ora e in futuro. Per passare alla funzione hash SHA-2 basta semplicemente ricreare la chiave del certificato. Per ulteriori informazioni, vedi Creare una nuova chiave per il certificato.