JAR-urile semnate cu algoritmii SHA-1 sunt acum restricționate

JAR-urile semnate cu algoritmii SHA-1 sunt acum restricționate implicit și tratate ca și cum ar fi nesemnate în Java SE 17. Acest lucru este valabil pentru algoritmii utilizați pentru digest, semnătură şi amprenta de timp opţională a JAR-ului. Se aplică şi algoritmilor digest şi de semnare a certificatelor dintr-un lanţ de certificate ai semnatarului codului şi autorităţii de amprentare a timpului, şi tuturor CRL-urilor şi răspunsurilor OCSP care sunt utilizate pentru a verifica dacă aceste certificate au fost revocate.

Pentru a reduce riscul de compatibilitate pentru aplicaţiile care au fost amprentate cu timpul anterior sau au utilizat CA-uri (autorităţi de certificare) private, există două excepţii la această politică:

• Orice JAR semnat cu algoritmi SHA-1 și amprentat înainte de 01 ianuarie 2019 nu va fi restricționat.
• Orice JAR semnat cu un certificat SHA-1 care nu se înlănțuie înapoi la un CA rădăcină inclus în mod implicit în depozitul de chei cacerts JDK nu va fi restricționat.

Aceste excepții pot fi înlăturate într-o ediție viitoare de JDK.

SHA-1 nu mai este considerat sigur și nu ar trebui să fie utilizat. Utilizatorii pot, pe propriul lor risc, să înlăture aceste restricții modificând fișierul de configurație java.security (sau să-l ignore folosind proprietatea de sistem java.security.properties) și să înlăture SHA1 jdkCA & usage SignedJAR & denyAfter 2019-01-01 din proprietatea de securitate jdk.certpath.disabledAlgoriţile și SHA1 jdkCA & denyAfter 2019-01-01 din proprietatea de securitate jdk.jar.disabledAlgorithms.

Pentru mai multe informații cu privire la această restricție, SHA-1 Signed JARs.