Принят Ballot SC53, связанный с отказом от SHA-1 OCSP-подписей

CA/B Forum, регулятор в индустрии SSL-сертификатов, принял большинством голосов новый Ballot SC53. Теперь SHA-1 OCSP-подписи больше не поддерживаются.

OCSP (Online Certificate Status Protocol) или протокол состояния сетевого сертификата — это интернет-протокол, используемый для получения статуса отзыва цифрового сертификата X.509.

Алгоритм хеширования SHA-1, применяемый для подписей, недостаточно устойчив.

Уже давно был введен запрет на использование приватных ключей для прямой подписи OCSP-ответов с помощью SHA-1.

Однако приватные ключи, соответствующие делегированным ответчикам OCSP, по-прежнему могли использоваться для подписи OCSP-ответов с помощью алгоритма SHA-1.

Что делает новый Ballot SC53

• Новый Ballot SC53 вносит следующие изменения в документ «Baseline Requirements»:
• Появился пункт 7.1.3.2.1, гласящий, что удостоверяющий центр больше не может подписывать OCSP-ответы с помощью алгоритма SHA-1.
• Поле producedAt для ResponseData в OCSP-ответе должно содержать дату до 2022-06-01 00:00:00 UTC.