Soubory JAR podepsané s algoritmem SHA-1 jsou nyní omezeny

Soubory JAR podepsané algoritmem SHA-1 jsou nyní standardně omezeny, a v prostředí Java SE 17 se s nimi zachází, jako by byly nepodepsané. To se týká algoritmů k provedení ověřování typu digest, podpisu a volitelně časového razítka souboru JAR. Platí to také pro podpis a algoritmus digest certifikátů v řetězu certifikátů podepisujícího kódu a oprávnění časového razítka (Timestamp Authority) i veškerých odpovědí CRL nebo OCSP, které se používají k ověření, zda nebyly tyto certifikáty odvolány.

Chcete-li snížit riziko kompatibility pro aplikace, které byly dříve opatřeny časovými razítky, nebo používáte-li soukromé certifikační autority, existují dvě výjimky z této zásady:

• Všechny soubory JAR podepsané pomocí algoritmu SHA-1 a časovými razítky před lednem 2019 nebudou omezeny.
• Všechny soubory JAR podepsané pomocí certifikátu SHA-1, který se neřetězí zpět ke kořenové CA, jež je standardně součástí úložiště klíčů certifikátů CA JDK, nebudou omezeny.

Tyto výjimky mohou být odebrány v budoucím vydání JDK.

Algoritmus SHA-1 již není považován za zabezpečený, a neměl by být používán. Uživatelé mohou, na vlastní riziko, odebrat tato omezení úpravou konfiguračního souboru java.security (nebo jeho přepsáním pomocí systémové vlastnosti java.security.properties) a odebráním kódu SHA1 jdkCA & usage SignedJAR & denyAfter 2019-01-01 z vlastnosti zabezpečení jdk.certpath.disabledAlgorithms a kódu SHA1 jdkCA & denyAfter 2019-01-01 z vlastnosti zabezpečení jdk.jar.disabledAlgorithms.

Další informace o tomto omezení naleznete v části Zakažte soubory JAR s podpisem SHA-1.