Microsoft将删除与SHA-1签署的所有Windows下载

7月30日早间消息：微软正在删除微软下载中心的所有Windows下载，这些下载是在2020年8月3日使用SHA-1证书签署的。

SHA-1算法通常用于对可执行文件进行代码签名，并在网站上使用TLS和SSL证书来验证发行者的合法性。

2015年，安全研究人员发布了一份报告详细说明SHA-1是如何容易受到碰撞攻击的，这些攻击可能允许攻击者创建伪造的数字证书，以模拟公司或其他网站。

然后，这些伪造物可以用于网络钓鱼攻击、欺骗公司，或者用于中间人攻击，以便在加密的网络会话中监听。

由于sha-1证书的问题，microsoft和其他开发人员一直在远离sha-1证书和要求SHA-2用于安装Windows更新.

Microsoft删除所有sha-1签名的内容。

在昨天发布的一份新的支持公告中，微软表示，他们将从微软下载中心(Microsoft Download Center)取消与安全哈希算法1(SHA-1)签署的所有Windows内容，以提高安全性。

“为了支持不断发展的行业安全标准，并继续保持您的保护和生产效率，微软将于2020年8月3日从微软下载中心(Microsoft Download Center)退役Windows的内容，即安全哈希算法1(SHA-1)。这是我们继续努力采用安全哈希算法2(SHA-2)的下一步，该算法更好地满足现代安全要求，并提供更多的保护，免受常见攻击载体的攻击。”

Sha-1是一种遗留的密码散列，安全社区中的许多人认为它不再安全。在数字证书中使用sha-1散列算法可以使攻击者伪造内容、执行钓鱼攻击或执行中间人攻击。

“由于与算法相关的安全考虑，微软不再使用sha-1对windows操作系统更新进行身份验证，并提供了适当的更新，以将客户迁移到sha-2。因此，从2019年8月起，没有支持sha-2的设备没有收到windows更新。如果您仍然依赖sha-1，我们建议您移动到当前支持的windows版本，并使用更强的替代方案，如sha-2，”微软在报告中表示。

尽管微软只支持官方内容的SHA-2签名内容，但使用SHA-1签名的Windows可执行文件仍然可以在操作系统中运行。

如果微软下载中心上有旧的SHA-1签名文件，您仍然经常使用，那么您应该在微软在8月3日删除它们之前下载它们。