Los JAR firmados con algoritmos SHA-1 ahora están restringidos

Los JAR firmados con algoritmos SHA-1 ahora están restringidos de forma predeterminada y se tratan como si no estuvieran firmados en Java SE 17. Esto se aplica a los algoritmos utilizados para resumir, firmar y opcionalmente indicar fecha y hora en el JAR. También se aplica a los algoritmos de firma y de resumen de los certificados de la cadena de certificados del firmante de código y de la autoridad de indicación de la hora y de las respuestas de CRL o OCSP que se utilizan para verificar si dichos certificados se han revocado.

Para reducir el riesgo de compatibilidad para las aplicaciones que tienen una fecha y hora anterior o que utilizan CA privadas, hay dos excepciones a esta política:

• No se restringirá cualquier JAR firmado con algoritmos SHA-1 y con una fecha anterior al 1 de enero de 2019.
• No se restringirá ningún archivo JAR firmado con un certificado SHA-1 que no se vuelva a encadenar a una CA raíz incluida de forma predeterminada en el almacén de claves de cacerts de JDK.

Estas excepciones se pueden eliminar en un futuro release de JDK.

SHA-1 ya no se considera seguro y no se debe utilizar. Los usuarios pueden, bajo su propio riesgo, eliminar estas restricciones modificando el archivo de configuración java.security (o alterándolo temporalmente utilizando la propiedad del sistema java.security.properties) y eliminando SHA1 jdkCA & usage SignedJAR & denyAfter 2019-01-01 de la propiedad de seguridad jdk.certpath.disabledAlgorithms y SHA1 jdkCA & denyAfter 2019-01-01 de la propiedad de seguridad jdk.jar.disabledAlgorithms.

Para obtener más información sobre esta restricción, consulte Inhabilitar los JAR firmados de SHA-1.