Microsoft ,使用傳統的、不安全的安全雜湊演演算法1(SHA-1)簽名的多個 .NET 框架版本將在明年停止支援。
據 .NET 首席工程經理 Jamshed Damkewala 表示,.NET 框架 4.5.2、4.6 和 4.6.1 將在 2022 年 4 月 26 日後停止支援,屆時不再為這些版本提供包括安全修復或技術支援在內的更新。唯一的例外是 Windows 10 Enterprise LTSC 2015 內建的 .NET Framework 4.6 版本,它的支援將延長到 2025 年 10 月,即該作業系統達到其終點時。
此外,文中還建議 .NET 開發人員在 2022 年 4 月 26 日之前將其應用程式至少遷移到 .NET 框架 4.6.2 或更高版本,以繼續接受安全更新和技術支援。4.6.2 和 4.8 都是穩定的版本,並具有良好的相容性,如果應用程式是使用 .NET 框架 4-4.6.1 構建的,在大多數情況下,它都可以繼續在 4.6.2 及之後的版本上執行,而不需要重新編譯或重新定位。
此舉的原因是這些版本都是用使用傳統的 SHA-1 加密雜湊演演算法的證書進行數位簽章的,而這種演演算法現在被證明是不安全的,攻擊者能夠通過 SHA-1 的漏洞偽造數位憑證來冒充公司或網站。在 Windows 更新的簽名改為使用 SHA-2 演演算法後,微軟下載中心於 2020 年 8 月下架了所有 Windows 簽名的 SHA-1 內容。並且,從下個月的 5 月 9 日開始,所有主要的微軟服務和程式(包括程式碼簽名、檔案雜湊和 TLS 證書)將完全使用 SHA-2 演演算法。
不過,儘管微軟官方內容只支援 SHA-2 簽名,但使用手動安裝的企業整數或自簽名的 SHA-1 證書籤名的 Windows 可執行檔案仍然可以在作業系統中執行。