我刚刚重新键入了SHA1证书,并在其位置安装了新的SHA2证书。 一切都很好。没有不安全的内容。 Digicert的诊断工具说一切正常,“签名算法= SHA256 + RSA”。但是,Google Chrome说(注意我的重点):
此网站的身份已经过DigiCert SHA2 High验证 Assurance Server CA但没有公共审核记录。
您与[www.domain.com]的连接使用128位加密 加密。
连接使用TLS 1.0。
使用AES_128_CBC加密连接,使用SHA1加密消息 身份验证和DHE_RSA作为密钥交换机制。
为什么Google Chrome会说连接使用“SHA1进行邮件身份验证”?
(注意:我已清除缓存和刷新页面)
答案 0 :(得分:3)
邮件身份验证用于对传输中的数据进行身份验证。它不用于保护证书(使用数字签名)。
许多密码套件仍将使用SHA-1使用HMAC作为SHA-1(甚至MD5)在HMAC方案中非常安全(因为密钥在开始和结束时都是哈希的)要保护的数据。)
HMAC算法的结构使其不易受到底层哈希算法属性的攻击。 HMAC对当前(成功)对MD5和SHA-1的攻击具有很强的抵御能力。