依據美國國家標準研究院NIST SP800-57-A 2005年版，如下表，建議用戶RSA金鑰長度在2011年起以RSA 2048位元為宜。

依據NIST SP800-57-A 2005年版建議的演算法和最小的金鑰長度值，以當時的推估，RSA 2048 位元的金鑰安全強度可以用到2030年的。但隨著資訊科技的發展，最小金鑰長度的使用期限會再下修。

NIST所建議的為最小金鑰長度，如果要更安全可常換金鑰(有如經常更換通行密碼一樣)，故SSL憑證效期最長為三年，此外則可使用更安全的演算法及金鑰長度。

根據美國國家標準研究院 2012年7月出版的Recommendation for Key Management, Special Publication 800-57 Part 1 Rev. 3,同樣也是建議2011-2030年使用非對稱式密碼金鑰長度至少為2048位元。

微軟Root Certificate 計畫於2009年1月要求各國Root CA回覆Root CA計畫金鑰長度提升問卷，否則2011年Root CA憑證將遭自CA Trust List移除，其原因就在於美國NIST SP 800-57建議美國政府於2010-12-31以後，不應再繼續使用1024 bits 長度的RSA金鑰，加上有研究團隊提出利用2004年中國山東大學王小雲教授團隊所發表的MD5碰撞方法成功地仿造出了一張VeriSign CA憑證，而且此偽造的憑證如果用VeriSign的Root CA憑證來檢驗，能夠正常通過憑證路徑演算法的檢驗，建議不再使用MD5 雜湊函數演算法。

Mozilla Firefox也針對國外其他CA之RA遭攻擊事件等議題，希望各國PKI提升安全強度，包括將用戶憑證金鑰之長度提升為2048位元，並於2013年12月底前廢止1024位元憑證，以策用戶金鑰使用之安全，依據Mozilla CA Certificate Maintenance Policy (Version 2.2) -提及

8.We consider the following algorithms and key sizes to be acceptable and supported in Mozilla products:

• SHA-1 (until a practical collision attack against SHA-1 certificates is imminent);
• SHA-256, SHA-384, SHA-512;
• Elliptic Curve Digital Signature Algorithm (using ANSI X9.62) over SECG and NIST named curves P-256, P-384, and P-512;
• RSA 2048 bits or higher; and
• RSA 1024 bits (only until December 31, 2013).

9. We expect CAs to maintain current best practices to prevent algorithm attacks against certificates. As such, the following steps will be taken:

• after June 30, 2011, software published by Mozilla will return an error when a certificate with an MD5-based signature is used;
• all end-entity certificates with RSA key sizes smaller than 2048 bits must expire by December 31, 2013;
• after December 31, 2013, Mozilla will disable or remove all root certificates with RSA key sizes smaller than 2048 bits; and
• all new end-entity certificates must contain at least 20 bits of unpredictable random data (preferably in the serial number).

Opera Browser之Root Certificate Program也有要求用戶憑證之金鑰長度最少為2048位元。

我國政府機關所使用的SSL伺服器軟體憑證(由中華電信受委託維運的政府憑證管理中心)也自2009年9月起則停發1024位元SSL憑證。

依據CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates v.1.1 Appendix A - Cryptographic Algorithm and Key Requirements (Normative)詳如下表，效期至2013年12月31截止的SSL憑證最小RSA金鑰長度為1024位元，憑證效期在2013年12月31以後才到期的SSL憑證最小金鑰長度為2048位元。

* SHA-1 MAY be used until SHA-256 is supported widely by browsers used by a substantial portion of relying parties worldwide.

Google於2014年9月5日在其線上安全部落格宣布透過不同版本Chrome 瀏覽器之使用者介面(User Interface, UI)顯示逐步淘汰SHA-1憑證。

此處之SHA-1憑證指的是SHA-1雜湊函數法搭配非對稱式密碼學演算法如RSA演算法所簽發之SSL憑證或SHA-1之下屬CA憑證(或稱中繼CA憑證)以及若是由SHA-2雜湊演算法簽發之SSL憑證但該SSL憑證是由SHA-1中繼CA所簽發的都會將淘汰，但根憑證(Root CA Certificate)或所謂總憑證管理中心之憑證是SHA-1簽章的並不受影響。

103年9月最新Chrome 版本 37.0.2062.124 ，其連結安裝SHA-1 SSL憑證之網址列圖示如下，以綠色鎖頭顯示憑證安全且有建立SSL加密安全通道成功：

預估Chrome 39版 (Branch point 26 September 2014，亦即Beta版，大約在2014年11月至12月會釋出新版) 只要是2017年1月1日(含)與以後到期之SSL憑證，其憑證串鏈是屬於植基於SHA-1簽章的憑證將被視為”安全但有小錯誤”(“secure, but with minor errors”)，目前視覺顯示 ”安全但有小錯誤”的方式為鎖頭並包含黃色三角形如下圖：

用以強調其他或不安全的實務，例如混合安全與不安全的被動文件，此處之Branch Point後6-8週，Google Chrome會推出穩定之新版本。

Chrome 40 版(Branch point 7 November 2014; Stable after holiday season，預估2015年新年假期後)，針對介於2016年6月1日至2016年12月31日之SSL憑證其憑證串鏈是屬於植基於SHA-1簽章的憑證將被視為”安全但有小錯誤”(“secure, but with minor errors”)。網站安裝在2017年1月1日到期之SSL憑證包含其憑證串鏈具有SHA-1簽章的將被視為”中性 ,欠缺安全”(“neutral, lacking security”)，其視覺顯示為空白頁面按鈕且用於其他狀況例如HTTP協定瀏覽。

Chrome 41版 (Branch point in Q1 2015)： 針對2016年1月1日至2016年12月31日到期之SSL憑證其憑證串鏈是屬於植基於SHA-1簽章的憑證將被視為”安全但有小錯誤”( “secure, but with minor errors”)，針對安裝2017年1月1日以後過期屬於植基於SHA-1簽章的SSL憑證之網站，其憑證串鏈將被視為不安全 (“affirmatively insecure”)，在該網域下之資料將被視為主動混合內容( “active mixed content”) ，其視覺顯示是打紅X的安全鎖以及在網址列之https協定有一紅線刪除如圖顯示。

以摘要表顯示不同之SSL憑證到期日與Google Chrome之SHA-1退場使用者介面顯示如下表：

Chrome瀏覽器版本(Beta版日期)	SHA-1憑證 (憑證效期至2015年12月31日)	SHA-1憑證 (憑證有效截止日介於2016年1月1日至5月31日)	SHA-1憑證 (憑證有效截止日介於2016年6月1日至12月31日)	SHA-1憑證 (憑證效期超過2017年1月1日者)	SHA-2憑證
Chrome 39 (2014年9月26日)
Chrome 40 (2014年11月)
Chrome 41 (2015年第一季)

Beta版後大約6-8週出正式版本。

Google Chrome透過新版之瀏覽器的視覺顯示讓網站管理者因為國際間對於SHA-1雜湊函數演算法之安全性採預防性措施防止可能的碰撞攻擊、客戶之抱怨與憑證管理中心提供SHA-2憑證而逐步淘汰SHA-1憑證。此項SHA-1憑證逐步退場之機制是所有憑證管理中心、網站管理者與其用戶使用到Chrome瀏覽器必須面對的。目前Mozilla也宣告於Firefox 瀏覽器2015年的版本會提醒用戶SHA-1憑證不安全，參見Q3。

由於雜湊函數演算法之弱點可導致攻擊者取得偽冒之憑證，Mozilla和其他瀏覽器大廠因此希望結束對於SHA-1雜湊函數演算法之支援。SHA-1至2014年已經問市將近二十年，針對更老舊的MD5雜湊函數演算法的碰撞攻擊已經導致偽冒憑證之出現，因此對於SHA-1雜湊函數演算法可能的碰撞攻擊必須關切，為了防止針對SHA-1湊函數演算法關鍵的攻擊產生，Firefox必須預防性地淘汰SHA-1憑證。

Mozilla鼓勵憑證機構和網站管理者升級其憑證至比SHA-1還強韌的雜湊函數演算法例如SHA-256、SHA-384或SHA-512，美國國家標準和技術研究院的指引建議2014年以後不要再信賴SHA-1憑證，然而仍有許多網站使用SHA-1憑證，因此Mozilla表示他們贊同Microsoft與Google之看法，不應該於2016年1月1日以後簽發新的SHA-1憑證，不應於2017年1月1日以後信賴SHA-1憑證。Firefox認為憑證機構應該協助用戶移轉其SHA-1中繼CA憑證 (intermediate certificates)與終端用戶憑證 (end-entity certificates)，尤其是針對SSL憑證與Code Signing憑證。如果憑證機構為了相容性理由而繼續簽發SHA-1憑證，這些SHA-1憑證應該於2017年1月以前到期失效。

對於開發者，Mozilla打算於Web Console增加安全警告提醒用戶不要使用SHA-1簽章之憑證。

對於使用者，針對2017年1月1日仍有效之SHA-1憑證將於2015年初的Firefox版本增加額外的使用者介面提出警告訊息。例如當Firefox瀏覽到網站安裝2016年1月1日以後新簽發的SHA-1憑證，會顯示"不受信任的連線"(“Untrusted Connection”)錯誤訊息如下圖(取材自參考資料2)。在2017年1月1日，計畫針對所有的SHA-1憑證一律顯示"不受信任的連線"錯誤訊息。

※參考資料：

作業系統、伺服器與瀏覽器、Toolkits、Libraries、Frameworks支援SHA 256雜湊函數演算法參見如下簡表，並可留意備註之超連結。

採用SHA 256雜湊函數演算法簽發的憑證可在多數軟體平台得到支援，目前不支援SHA 256的是微軟已經停止銷售且過了其「主流支援」和「延伸支援」的Windows XP SP2與之前的版本[註1、註2與註3]還有Apple OS X 10.4與以前之版本。

※參考資料與備註：

歷經多次討論與2014年10月16日第118次投票議案議決，CA/Browser Forum在Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates v.1.2.1新增加第9.4.2節，正體中文大意如下：

9.4.2 SHA-1 雜湊函數演算法有效期限
2016年1月1日起不能再使用SHA-1雜湊函數演算法簽發任何新的用戶憑證或下屬CA憑證。直到2017年1月1日，憑證機構仍可使用SHA-1雜湊函數演算法簽發驗證OCSP回應訊息的憑證(亦即可使用SHA-1雜湊函數演算法簽發OCSP Responder之憑證)。9.4.2 節並不適用於根憑證機構(或稱憑證總管理中心, 英文為Root CA)或CA交互認證機構憑證(CA cross certificates)。憑證機構可以繼續使用其現有存在之SHA-1根憑證。SHA-2 SSL憑證不應由SHA-1下屬CA憑證簽發。自2015年1月16日起，憑證機構不應該使用SHA-1雜湊函數演算法簽發憑證到期日超過2017年1月1日之SSL憑證，因為應用軟體提供者正在從其軟體不贊成和/或移除SHA-1雜湊函數演算法，並且已經與憑證機構和用戶溝通使用SHA-1憑證必須自己承擔風險。

將附錄A規範 Root CA、下屬CA與SSL憑證的三個表格之SHA-1註解增加"SHA-1可根據9.4.2節所定義之條款搭配RSA金鑰使用”並刪除先前B.R.版本之"直到SHA-256被瀏覽器廣泛支援達到信賴憑證者相當大比例時"這段話。

一.金鑰長度:

本憑證管理中心遵循CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates之規定，簽發RSA 2048位元SSL憑證(國際要求各國CA於2013年底前廢止與不再使用先前已經核發之RSA 1024位元憑證)。在您購買SSL憑證於申請投單網頁上傳SSL憑證申請資料時，會檢查憑證請求檔的用戶伺服器公開金鑰長度，若低於2048位元者會阻擋投單，請參考網站伺服器的使用手冊改製作RSA 2048位元金鑰長度的憑證請求檔。

二.SHA-1憑證移轉至SHA-2憑證：

2013年11月11日微軟的根憑證計畫公布了2.0版的技術條款，提出了未來SHA-1憑證之退場機制，包括:

2014年9月，Google公告將在2014年底至2015年第1季陸續推出的Chrome 39、40及41版，針對不同到期日之SHA-1憑證(不含SHA-1根憑證)於網址列提醒不安全之訊息，Mozilla也於2014年9月23日預告Firefox瀏覽器將於2015年推出之版本提醒用戶SHA-1憑證不夠安全，同時CA/Browser Forum也經歷會員投票於2014年10月通過修訂CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates對於SHA-1憑證退場之規定，在作業系統與瀏覽器漸進淘汰SHA-1憑證，且SHA-2雜湊函數演算法廣泛被網站管理者之伺服器、用戶之瀏覽器與作業系統支援與接受之時，本憑證管理中心遵循國際規定，除預告國際間之作法外，自2014年12月29日起提供SSL憑證客戶無縫接續與安全轉移至SHA 256憑證的因應措施：

1. 對於新申請SSL憑證之客戶提供1張SHA256憑證，並加贈1張SHA-1憑證(其憑證效期最長不超過2016年5月31日，且2016年1月1日起不再簽發SHA-1憑證)。
2. 對於在2014年12月29日前已經領用SHA-1憑證之舊用戶，可以針對已領有SHA-1憑證之公開金鑰核發另1張SHA-256憑證其憑證效期與原SHA-1憑證之到期日相同，此SHA 256憑證為免費加贈。另外並核發1張SHA-1憑證(針對已領有SHA-1憑證之公開金鑰)，其效期至2016年5月31日止，供用戶選擇是否更換掉舊SHA-1憑證以免瀏覽器有告警訊息。
   
   舉例而言:
   A.客戶於2015年1月初申請單網域SSL憑證1年期，於1月10日經審驗身分無誤簽發SSL憑證，則憑證技術聯絡人會接到兩封憑證串鏈通知電子郵件，其中1封電子郵件包含SHA 256 SSL憑證其到期日為2016年1月10日，另外1封電子郵件包含SHA-1 SSL憑證其到期日為2016年1月10日。憑證費用仍以單網域SSL憑證1年期1張之網站公告優惠價計費。
   
   B.客戶於2015年1月初申請多網域SSL憑證2年期，於1月10日經審驗身分無誤簽發SSL憑證，則憑證技術聯絡人會接到兩封憑證串鏈通知電子郵件，其中1封電子郵件包含SHA 256 SSL憑證其到期日為2017年1月10日，另外1封電子郵件包含SHA-1 SSL憑證，其到期日為2016年5月31日。憑證費用仍以多網域SSL憑證2年期1張之網站公告優惠價計費。
   
   C.客戶於2016年3月初申請萬用網域SSL憑證3年期，於3月10日經審驗身分無誤簽發SSL憑證，則憑證技術聯絡人會接到1封憑證串鏈通知電子郵件，包含SHA 256 SSL憑證其到期日為2019年3月10日。憑證費用以萬用網域SSL憑證3年期1張之網站公告優惠價計費。
   
   D.用戶原本已經領有單網域SHA-1 SSL憑證到期日至2017年10月31日，可致電本憑證管理中心，經身分驗證程序後，針對原持有SSL憑證之公開金鑰另外簽發1張SHA 256 SSL憑證其到期日為2017年10月31日並且簽發1張新的SHA-1 SSL憑證其到期日至2016年5月31日替換原有可能被瀏覽器UI顯示不安全之SHA-1 SSL憑證，此2張憑證不收費。
   
   E.舊用戶原本有SHA-1 SSL憑證其憑證效期至2015年8月31日，由於瀏覽器之使用者介面並未針對憑證到期日為2015年12月31日前之SSL憑證顯示SHA-1憑證不安全之訊息，故可以等憑證到期前一個月再向本管理中心申請SSL憑證（本管理中心會於到期前1個月以電子郵件提醒用戶)。

於漸進移轉SHA-1憑證至SHA 256憑證期間，所有簽發的SHA 256或SHA-1 SSL憑證一律於到期前30天開始每隔10天會申請SSL憑證寄發憑證快到期通知電子郵件通知原申請的技術連絡人。

以IE、Chrome及Firefox檢視憑證效期及簽章演算法之步驟說明，請參見附加檔案。

Google和荷蘭研究機構CWI(Cryptology Group at Centrum Wiskunde & Informatica)已經於2017年2月23日宣布破解SHA-1雜湊函數演算法，透過 Google 雲端平台及Marc Stevens的Shattered 的破解方法實現碰撞(兩個不同檔案會有相同的雜湊函數值)，於https://shattered.io/網站說明破解的技術細節，並預計九十天後公布原始程式碼。故淘汰使用SHA-1雜湊函數演算法所簽發的中繼CA憑證與用戶端憑證(如證券下單憑證)升級至SHA 256憑證勢在必行。本管理中心已經舉辦相關說明會積極協助券商註冊中心辦理，最遲5月17日就會全數簽發SHA 256憑證。其餘如SSL憑證與電子識別證皆早已依照國際規定簽發SHA 256憑證。