Файлы JAR, подписанные с применением алгоритмов SHA-1, теперь имеют ограниченные права

Файлы JAR, подписанные с помощью алгоритма SHA-1, теперь по умолчанию ограничены и обрабатываются в Java SE 17 так же, как если бы они не были подписаны. Это относится к алгоритмам импорта, подписания и необязательного присвоения отметки времени файлу JAR. Изменение также затрагивает алгоритмы подписания и импорта в сертификатах, находящихся в цепочке сертификатов функции подписания кода, Timestamp Authority и все ответы CRL или OCSP, используемые для проверки отзыва сертификатов.

В целях сокращения уровня несовместимости приложений, ранее использовавших отметки времени или частные CA, есть два исключения из этой политики:

• Все JAR, подписанные с помощью алгоритмов SHA-1, с отметкой времени до 1 января 2019 года, ограничены не будут.
• Все JAR, подписанные с помощью сертификата SHA-1, который не состоит в цепочке до корневого CA, включенного по умолчанию в хранилище ключей JDK cacerts, не будут ограничены.

Эти исключения могут быть удалены в последующих версиях JDK.

Алгоритм SHA-1 более не является безопасным и не должен использоваться. Пользователи могут, на свой страх и риск, снять ограничение, изменив файл конфигурации java.security (или переопределив его в системном свойстве java.security.properties). Для этого необходимо удалить SHA1 jdkCA & usage SignedJAR & denyAfter 2019-01-01 из свойства jdk.certpath.disabledAlgorithms и SHA1 jdkCA & denyAfter 2019-01-01 из свойства jdk.jar.disabledAlgorithms.

Дополнительная информация об этом ограничении приведена в разделе Disable SHA-1 Signed JARs.