中華電信通用憑證管理中心

eCA及Public CA將於111年9月1日12:00起停止使用SHA-1而全部改用SHA-256簽發憑證廢止清冊

【公告主旨】

中華電信憑證總管理中心(eCA)及中華電信通用憑證管理中心(Public CA)，將於111年9月1日中午12:00起停止使用SHA-1，而全部改用SHA-256簽發憑證廢止清冊，請查照惠辦。

一、	因SHA-1雜湊函數演算法已於106年2月遭碰撞攻擊成功，CA/Browser Forum今年投票通過6月1日起停止以SHA-1雜湊函數演算法簽發線上憑證狀態查詢協定回應訊息。瀏覽器廠商Mozilla公布第2.8版Root Store政策規範各國CA於 2023年7月1日前停止使用SHA-1簽發憑證廢止清冊。(原本第2.71版以前的政策規定曾簽發過SHA-1用戶憑證的CA仍可以繼續使用SHA-1雜湊函數演算法簽發憑證廢止清冊)
二、	目前eCA第1代及Public CA第2代同時以SHA-1及SHA-256雜湊函數演算法簽發憑證廢止清冊，網址如下附表1。應用系統可改以SHA-256憑證廢止清冊網址驗證用戶憑證狀態。Public CA第1代則將於原網址於111年9月1日12:00改用SHA-256簽發憑證廢止清冊。
三、	如貴公司PKI相關應用系統已經不再下載SHA-1憑證廢止清冊，不用理會本公告，如仍在下載使用者，請於111年9月1日12:00前切換下載SHA-256之憑證廢止清冊。如有困難，請與caservice@cht.com.tw聯繫。

【附表1：憑證廢止清冊下載網址】

憑證機構名稱	SHA-1雜湊函數演算法憑證廢止清冊下載網址(於111/9/1中午12:00停止簽發)，並改以SHA-256雜湊函數演算法簽發	SHA-256雜湊函數演算法憑證廢止清冊下載網址
中華電信憑證總管理中心第1代(eCA-G1)	http://eca.hinet.net/repository/ CRL/CA.crl 或 http://epki.com.tw/repository/ CRL/CA.crl	http://eca.hinet.net/repository/ CRL_SHA2/CA.crl 或 http://epki.com.tw/repository/ CRL_SHA2/CA.crl (已上線)
中華電信憑證通用管理中心第2代(Public CA-G2)	http://publicca.hinet.net/crl/ PubCAG2sha1/ complete.crl	http://publicca.hinet.net/crl/PubCAG2/ complete.crl (已上線)
中華電信憑證通用管理中心第1代(Public CA-G1)	http://publicca.hinet.net/crl/PubCA/ complete.crl	http://publicca.hinet.net/crl/PubCA/ complete.crl (同左網址, 111/9/1中午12:00上線)