Az SHA-1 algoritmusokkal aláírt JAR fájlok most korlátozás alá esnek

Az SHA-1 algoritmusokkal aláírt JAR fájlok most alapértelmezésben korlátozás alá esnek, és kezelésük úgy történik, mintha a Java SE 17-ben nem kerültek volna aláírásra. Ez a JAR kivonatolására, aláírására és esetleges időbélyegzésére használt algoritmusokra vonatkozik. Vonatkozik még a kódaláíró és időpecsét hatóság tanúsítványláncának tanúsítványaláírási és -kivonatolási algoritmusaira, valamint minden olyan CRL listára vagy OCSP válaszra, amely a tanúsítványok visszavonásának ellenőrzésére szolgál.

A kompatibilitási kockázat csökkentése érdekében azokra az alkalmazásokra vonatkozóan, amelyek korábban kaptak időpecsétet vagy privát CA-kat használnak, ennek az irányelvnek két kivétele van:

• A 2019. január 1. előtti időpecséttel rendelkező SHA-1 algoritmusokkal aláírt JAR fájlok nem esnek korlátozás alá.
• A JDK cacerts kulcstárolóban alapértelmezésben megtalálható gyökér CA-hoz nem visszacsatoló SHA-1 tanúsítvánnyal rendelkező JAR nem esik korlátozás alá.

Ezek a kivételek lehet, hogy egy későbbi JDK kiadásban eltávolításra kerülnek.

Az SHA-1 már nem tekinthető biztonságosnak, és nem használandó. A felhasználók saját felelősségükre eltávolíthatják ezeket a korlátozásokat a java.security konfigurációs fájl módosításával (vagy a java.security.properties rendszertulajdonság felülírásával), és eltávolíthatják az SHA1 jdkCA & usage SignedJAR & denyAfter 2019-01-01 bejegyzést a jdk.certpath.disabledAlgorithms biztonsági tulajdonságból és az SHA1 jdkCA& denyAfter 2019-01-01 bejegyzést a jdk.jar.disabledAlgorithms biztonsági tulajdonságból.

A korlátozással kapcsolatos további információk: Tiltsa le a SHA-1 aláírású JAR fájlokat.