最近几天，相信很多网站管理员都收到了Symantec的一封邮件，关于Chrome将在11月的version 39中停止对使用SHA-1签名算法的数字证书的支持。所以为了避免网站遭遇任何问题，请各位客户把自己网站的证书全部更新为使用SHA-2签名算法的证书。 （在2015年12月31日之后才会过期的证书可以在Symantec上免费更换，在那之前的，如果需要更换的话就得重新掏钱了。）

相信很多管理员都已经开始考虑两个问题了：

1） 如何更换证书。

2） 自己网站使用的环境是否支持SHA-2证书。

 

关于问题1），更换证书非常简单，重新生成证书请求文件CSR，然后再Symantec的Trust Center里面找到对应的证书，然后再Order标签下面会有一个“Replace”的链接，点击以后直接把新的CSR内容贴进去，按照提示进行更新即可。请求提交后两到三个工作日之后就可以得到新的证书CER文件了。

 

关于问题2），SHA-2证书的兼容性：

Symantec提供了一个支持的服务器环境的列表，包括所有支持的服务器类型，OS类型，应用服务器类型，浏览器类型，等等，可以从这个链接获取到这些信息。

https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=SO25586&actp=search&viewlocale=en_US&searchid=1411053709765

 

但是呢，这个链接并没有IBM HTTP Server的兼容性列表。根据Symantec提供的的信息，对于IHS来说，所有GSKit组件的版本在7.0.4.14以上的IHS都可以支持SHA-2.

关于GSKit组件版本的查询，可以参考这个链接：

 

根据我的经验，所有IHS6.1以上的版本的GSKit组件都是在7.0.4.14之上的，供参考。

 

 

以下是Symantec邮件的全文，又到了网站管理员开始忙碌和公司破财的时候了，要知道换一个证书可以1000刀啊，真的不便宜。。。

 

We would like to inform you of Google's intent to phase out support for certificates using a SHA-1 hashing algorithm via degraded visual indicators and warnings in the Chrome™ browser. These changes are expected to take effect in the production version of Chrome version 39 in November 2014. You can find more information regarding the proposed plan on Google's blog.

As a proactive measure, in order to help ensure that Chrome 39 users visiting your websites do not encounter any UI degraded indicators, Symantec recommends the following:

1.

Identify certificates that have a SHA-1 algorithm using SSL Toolbox. For more information, please refer to Knowledge Center article SO26442.

2.

Replace any SHA-1 certificates that expire beyond December 31, 2015, with SHA-2 certificates at no additional cost. For more information, please refer to Knowledge Center article SO17490.

Please note that SHA-1 root certificates will not be affected by the plan.

Here are some additional resources for your reference:

•

Symantec SHA-1 information page

•

Symantec Community Forum: Website Security Solutions

•

Upcoming Webcast: Get Answers to Your Questions on Google SHA-1 Deprecation Plans