I JAR firmati con algoritmi SHA-1 sono ora limitati

I JAR firmati con gli algoritmi SHA-1 sono ora limitati per impostazione predefinita e trattati come se fossero non firmati in Java SE 17. Questo vale per gli algoritmi utilizzati per includere, firmare e facoltativamente assegnare una data/ora al JAR. Si applica anche agli algoritmi di firma e digest dei certificati nella catena di certificati del firmatario del codice e della Timestamp Authority e in qualsiasi CRL o risposta OCSP utilizzata per verificare se tali certificati sono stati revocati.

Al fine di ridurre il rischio di compatibilità per le applicazioni a cui è stato precedentemente assegnata una data/ora o che utilizzano CA private, esistono due eccezioni a questa policy:

• Qualsiasi JAR firmato con algoritmi SHA-1 e contrassegnato con una data/ora precedente al 1° gennaio 2019 non sarà soggetto a restrizioni.
• Qualsiasi JAR firmato con un certificato SHA-1 che non si collega ad una CA Root, incluso per impostazione predefinita nel keystore JDK cacerts non sarà soggetto a restrizioni.

Queste eccezioni potrebbero essere rimosse in una futura versione di JDK.

SHA-1 non è più considerato sicuro e non dovrebbe essere utilizzato. Gli utenti possono, a proprio rischio, rimuovere queste restrizioni modificando il file di configurazione java.security (o sovrascrivendolo utilizzando la proprietà di sistema java.security.properties) e rimuovendo SHA1 jdkCA & usage SignedJAR & denyAfter 2019-01-01 della proprietà di sicurezza jdk.certpath.disabledAlgorithms e SHA1 jdkCA & denyAfter 2019-01-01 dalla proprietà di sicurezza jdk.jar.disabledAlgorithms.

Per ulteriori informazioni su questa limitazione, consultare Disabilita SHA-1 JAR firmati.