SHA-1现在被称为弱,许多浏览器都会将其标记为不安全。所以我想知道在不久的将来它是否也会在Android系统上弃用?
我APP的后端正在使用HTTPS的SHA-1证书,我已经读过Chrome would stop supporting it since 2017。 Android有任何类似的计划吗?
谢谢!
答案 0 :(得分:0)
根据谷歌政策,在不久的将来没有计划避免使用SHA-1。
答案 1 :(得分:0)
我还没有为每个Android版本的根证书找到方便,权威的在线资源。如果您有已知的Nexus设备或感兴趣的Android代码库,则可以从那里提取平台证书。请记住,OEM和运营商在Android中添加/删除根证书方面具有一定的灵活性,AT& T主动跟踪主要CA的弃用和新根证书介绍。
不幸的是,与MD5的弃用不同,即使在传统浏览器中广泛使用SHA-1,SHA-2支持也更为有限。例如,早于Service Pack 3的Windows XP没有SHA-2支持。此外,许多不到5年的Android手机(姜饼前)并不完全支持SHA-2 。考虑到一些运营商升级手机的难度,许多这些传统手机至今仍在使用。