去年 11 月微软公布了将弃用 SHA-1 的说明,现在微软公布了下一步计划的更多细节。在即将到来的 Windows 10 周年更新中,Microsoft Edge 和 Internet Explorer 浏览器不再考虑将采用 SHA-1 证书作为安全保护的网站,并将移除地址栏中采用 SHA-1 证书网站的「绿色小锁」图标。虽然这些网站仍可使用 Microsoft Edge 和 Internet Explorer 打开,但不会默认为安全站点。这一变化将在即将发布的 Windows Insider Preview Build 中开始实施,并在今年夏天推出的 Windows 10 周年更新中进行广泛实施。
从 2017 年 2 月开始,Microsoft Edge 和 Internet Explorer 将正式阻止采用 SHA-1 签发的 TLS 证书,这一变更将被推送给 Windows 10 中的 Microsoft Edge 和 Windows 7、Windows 8.1、Windows 10 中的 Internet Explorer 11,并只会影响受微软信任根证书中的某个 CA 链。
关于微软计划整体弃用 SHA-1 的更多详细信息可以参考 TechNet。
测试阻止SHA-1 TLS证书
你可以在管理员命令行中使用如下命令启用 SHA-1 证书的日志记录,该命令不会阻止 SHA-1 TLS 证书,但会记录相应日志。
1 创建一个日志存放目录并授权:
set LogDir=C:\Log mkdir %LogDir% icacls %LogDir% /grant *S-1-15-2-1:(OI)(CI)(F) icacls %LogDir% /grant *S-1-1-0:(OI)(CI)(F) icacls %LogDir% /grant *S-1-5-12:(OI)(CI)(F) icacls %LogDir% /setintegritylevel L
2 启用证书日志:
Certutil -setreg chain\WeakSignatureLogDir %LogDir% Certutil -setreg chain\WeakSha1ThirdPartyFlags 0x80900008
3 测试完成后可使用如下命令删除配置:
Certutil -delreg chain\WeakSha1ThirdPartyFlags Certutil -delreg chain\WeakSignatureLogDir
以上命令和对弱密码保护等的附加信息可以在针对弱加密算法提供保护一文中找到。
最新评论
关闭「安全启动」或改用 grub 之后。通过 grub 启动 Windows 而不使用 UEFI 的 Windows Boot Manager,「设备加密」会认为启动路径不可信,就会彻底隐藏。
应用安装失败,错误消息: 从 (Microsoft.NET.Native.Framework.2.2_2.2.29512.0_x64__8wekyb3d8bbwe.Appx) 使用程序包 Microsoft.NET.Native.Framework.2.2_2.2.29512.0_x64__8wekyb3d8bbwe 中的目标卷 C: 执行的部署 Add 操作失败,错误为 0x80040154。有关诊断应用部署问题的帮助,请参阅 http://go.microsoft.com/fwlink/?LinkId=235160。 (0x80040154)
之前装双系统时关了BitLocker,后来找不大设备加密了(原本有的)是怎么回事
补充一下哈,如果大家想看得更为完整。可以输入: slmgr.vbs -xpr 查询Windows是否永久激活 slmgr.vbs -dli 查询到操作系统版本、通过激活的渠道、后五位产品密钥、许可证状态等信息 slmgr.vbs -dlv 查询所有Windows的激活信息,包括:激活ID、安装ID、激活截止日期等信息