SHA-1 (Secure Hash Algorithm) to funkcja skrótu (haszująca), która już wiele lat temu zyskała opinię zawodnej i doczekała się dwóch nowocześniejszych następców: SHA-2 i SHA-3. Już w 2016 roku pisaliśmy, że Windows 10 przestanie uznawać certyfikat SHA-1 za bezpieczny oraz że przestaną go wspierać Internet Explorer i Edge. Microsoft zapowiada tymczasem dalsze wycofywanie przestarzałego certyfikatu.
Aby wspierać ewoluujące branżowe standardy bezpieczeństwa i nadal utrzymywać was chronionymi i produktywnymi, Microsoft wycofa zawartość, która jest podpisana dla Windows dla Secure Hash Algorithm 1 (SHA-1), z Microsoft Download Center 3 sierpnia 2020 roku. Jest to następny krok w naszych trwających staraniach, by zaadaptować Secure Hash Algorithm 2 (SHA-2), który lepiej spełnia nowoczesne wymagania bezpieczeństwa i oferuje ochronę przed powszechnymi wektorami ataków.
— Namrata Bachwani, Microsoft Tech Community
SHA-1 jest przestarzałym kryptograficznym hashem, który według znacznej części społeczności bezpieczeństwa komputerowego uznawany jest za niebezpieczny. Używanie algorytmu haszującego SHA-1 w certyfikatach cyfrowych może doprowadzić do spoofingu zawartości przez atakującego, przeprowadzenia ataków phishingowych lub ataków typu man-in-the-middle.
Microsoft nie używa już SHA-1 do uwierzytelniania aktualizacji Windows z powodu wątpliwości dotyczących bezpieczeństwa algorytmu. Zamiast tego zapewnia odpowiednie aktualizacje przenoszące klientów do SHA-2.
Począwszy od 19 sierpnia 2019 roku, urządzenia pozbawione obsługi SHA-2 nie otrzymują już aktualizacji Windows. Jeśli z jakiegoś powodu pozostaliście przy SHA-1, Microsoft zaleca przejście do aktualnie wspieranej wersji Windows oraz na bezpieczniejszy certyfikat SHA-2.