JARs, die mit SHA-1-Algorithmen signiert wurden, sind jetzt eingeschränkt

JARs, die mit SHA-1-Algorithmen signiert wurden, sind jetzt standardmäßig eingeschränkt und so behandelt, als wären sie in Java Platform, Standard Edition 17 nicht signiert. Dies gilt für die Algorithmen, die verwendet werden, um die JAR-Datei zu verarbeiten, zu signieren und optional mit einer Zeitmarke zu versehen. Sie gilt auch für die Kennungs- und Verarbeitungs-Algorithmen der Zertifikate in der Zertifikatskette des Code-Unterzeichners und der Zeitmarkenberechtigung sowie für alle CRLs oder OCSP-Antworten, die verwendet werden, um zu überprüfen, ob diese Zertifikate widerrufen wurden.

Um das Kompatibilitätsrisiko für Anwendungen zu reduzieren, die zuvor mit der Zeitmarke versehen wurden oder private CAs verwenden, gibt es zwei Ausnahmebedingungen von dieser Richtlinie:

• Alle JAR-Dateien, die mit SHA-1-Algorithmen signiert wurden und die vor dem 01. Januar 2019 mit Zeitstempel versehen wurden, werden nicht eingeschränkt.
• Alle JAR-Dateien, die mit einem SHA-1-Zertifikat signiert wurden, das nicht mit einer Stammzertifizierungsstelle verbunden ist, die standardmäßig im JDK-cacerts-Schlüsselspeicher enthalten ist, werden nicht eingeschränkt.

Diese Ausnahmebedingungen können in einem zukünftigen JDK-Release entfernt werden.

SHA-1 gilt nicht mehr als sicher und sollte nicht verwendet werden. Benutzer können diese Einschränkungen auf eigenes Risiko entfernen, indem sie die Konfigurationsdatei "java.security" ändern (oder sie mit der Systemeigenschaft java.security.properties überschreiben) und SHA1 jdkCA & usage SignedJAR & denyAfter 2019-01-01 aus der Sicherheitseigenschaft jdk.certpath.disabledAlgorithms und SHA1 jdkCA & denyAfter 2019-01-01 aus der Sicherheitseigenschaft jdk.jar.disabledAlgorithms entfernen.

Weitere Informationen zu dieser Einschränkung finden Sie unter Inaktivieren von SHA-1 Signed JARs.