Symantec

Introduzione

SHA-2 è un set di funzioni hash crittografiche che include SHA-224, SHA-256 e SHA-512. Il 256, in SHA-256, rappresenta la dimensione del bit dell'output o del digest dell'hash quando viene eseguita la funzione hash. Non tutti i software supportano ogni dimensione del digest all'interno della famiglia SHA-2. Questo articolo si concentra in particolare su SHA-256 e sulla sua compatibilità con varie piattaforme software e sistemi operativi. Come regola generale, SHA-256 è supportato su OS X 10.5+ e Windows XP SP3 +.

Indice

Supporto per sistemi operativi, browser e server

Supporto Firewall

Toolkits, Libraries, Frameworks, etc.

Supporto per Database

Supporto dettagliato del Sistema Operativo

Client di posta elettronica

Firma di Documenti

Windows Code Signing

Compatibilità SafeNet iKey/eToken

Mainframe

Supporto Citrix

 

Supporto per sistemi operativi, browser e server

SISTEMA OPERATIVO VERSIONE MINIMA (CERTIFICATI SSL) VERSIONE MINIMA (CERTIFICATI CLIENT)
Apple OS X 10.5+ 10.5+
Apple iOS 3.0+ (richiesto in iOS 9+) 3.0+
Android(*) 1.0+ (1.6 / 2.2) 1.0+
Blackberry 5.0+ 5.0+
ChromeOS Tutte le versioni Tutte le versioni
Windows XP SP3+ XP SP3+
Windows Phone 7+ 7+
Windows Server 2003 SP2 +MS13-095 2003 SP2 +MS13-095
 
BROWSER VERSIONE MINIMA DEL BROWSER
Chrome(**) 1.0+ (38+)
Firefox 1.0+
Internet Explorer 6+ (su un sistema operativo compatibile SHA-2)
Konqueror 3.5.6+
Mozilla 1.4+
Netscape 7.1+
Opera 6.0+
Safari 3+ (con OS X 10.5)
 
SERVER VERSIONE MINIMA DEL SERVER
Active Directory Federation Server (AD FS) 2.0+ (è necessario utilizzare un CSP non CNG)
Apache HTTP Server(***) Dipende dalla versione OpenSSL o GnuTLS
Apache Tomcat Dipende dalla versione di Java
IBM Domino Server 9.x con Fix Pack
IBM HTTP Server Qualsiasi versione con GSKit 7.0.4.14
IBM WebSphere Server 7.0.0.25 / 8.0.04 con PM62842
Microsoft Exchange Server Dipende dalla versione di Windows Server
NGINX Dipende dalla versione OpenSSL
Oracle Wallet Manager 11.2.0.1+
Oracle Weblogic(****) 10.3.3+

(*) Android ha la capacità tecnica di gestire i certificati SHA-256 direttamente dalla versione 1.0. In pratica, alcuni utenti potrebbero riscontrare problemi con la convalida dei certificati che utilizzano la certificazione incrociata (questa aiuta a stabilire una catena di certificati su radici alternative). La versione 1.6 ha migliorato questo problema per alcuni utenti. Il problema è stato risolto alla versione 2.2.

(**) Chrome è in grado di supportare i certificati SHA-2 a partire dalla versione 1.0. Tuttavia tramite la versione 37 dipende dal sistema operativo. Ad esempio, su Windows Server 2003 senza MS13-095 o Windows XP SP2 Chrome non si collegherà alle pagine utilizzando i certificati SHA-2. L'applicazione di MS13-095 a Server 2003 o SP3 a Windows XP consentirà a Chrome di supportare SHA-2 su questi sistemi legacy. Chrome 38+ può convalidare i certificati SHA-2 in modo indipendente, anche su sistemi come Server 2003 senza MS13-095 applicato.

(***) Apache 2.0 è in bundle con mod_ssl per impostazione predefinita. Le versioni precedenti alla 2.0 richiedono l'installazione manuale di mod_ssl per qualsiasi supporto SSL. mod_gnutls è un'alternativa a mod_ssl, che utilizza GnuTLS invece delle librerie OpenSSL.

(****) Oracle Weblogic Server 10.3.3 e versioni successive hanno JSSE disponibile per supportare certificati e connessioni SSL/TLS. Le versioni precedenti sfruttano le estensioni di Certicom, che ora sono considerate deprecate. 10.3.3 è la prima versione che supporta ufficialmente JSSE: può essere abilitata accedendo alla console di amministrazione e facendo clic su Ambiente> Server> ManagedServerName> Configurazione> SSL> Avanzate> Usa SSL JSSE. Fai clic su Salva; riavvia il tuo server. Le versioni precedenti alla 10.3.3 possono abilitare manualmente JSSE, ma non sono ufficialmente supportate da Oracle.

 

Supporto Firewall

FIREWALL VERSIONE MINIMA
Cisco ASA 5500 8.2 (3.9)
 

Toolkits, Libraries, Frameworks, etc.

TOOLKIT/LIBRARY/FRAMEWORK/ETC. VERSIONE MINIMA
Java Java 1.4.2+
Mozilla NSS 3.8+
OpenSSL(*) 0.9.8 / 0.9.8o+
GNUTLS 1.7.4+
.NET FX 3.5 SP1+

(*) Il supporto per SHA-2 è stato introdotto in OpenSSL 0.9.8, ma non è abilitato di default con SSL_library_init(). In 0.9.8, le funzioni hash SHA-2 devono essere chiamate specificatamente o usando OpenSSL_add_all_algorithms() che potrebbe non essere desiderato. OpenSSL 0.9.8o abilita gli algoritmi di hash SHA-2 nella configurazione di default.

 

Supporto per Database

DATABASE VERSIONE MINIMA
MYSQL 5.5.5+
PostgreSQL(*) 8.1 / 8.2

(*) Il modulo pgcrypto per PostgreSQL ha introdotto il supporto per la famiglia SHA-2 di algoritmi di hash con la versione 8.1 ma solo per il modulo standalone. 8.2 ha incorporato le funzioni SHA-2 del modulo pgcrypto nel nucleo di PostgreSQL consentendo a questi hash di essere disponibili a PostgreSQL anche se la versione installata di OpenSSL non la supporta.

 

Supporto dettagliato del Sistema Operativo

SISTEMA OPERATIVO CERTIFICATI SSL (LATO CLIENT) CERTIFICATI SSL (LATO SERVER) S/MIME CODE SIGNING
Windows XP (SP1, SP2) No N/D No No
Windows XP SP3 Si N/D Parziale(*) Parziale(**)
Windows Vista Si N/D Si Parziale(**)
Windows 7 Si N/D Si Si
Windows 8 Si N/D Si Si
Windows Server 2003/2003 SP1 No No No No
Windows Server 2003 SP2 + MS13-095 Si Si Si No
Windows Server 2008 Si Si Si Parziale(**)
Windows Server 2008 R2 Si Si Si Si
Windows Server 2012 & 2012 R2 Si Si Si Si
Windows Mobile 5 No N/D No N/D
Windows Mobile 6 No N/D No N/D
Windows Mobile 7 Si N/D Si N/D
Windows Mobile 8 Si N/D Si N/D

Note sulla compatibilità "parziale"

(*) S/MIME:

  • Outlook su Windows XP SP3 può utilizzare certificati firmati con SHA-256 ma non può convalidare un messaggio di posta elettronica firmato utilizzando l'algoritmo di hash SHA-256;
  • per impostazione predefinita, Outlook firma con SHA1 anche se è in uso un certificato SHA2, sebbene questo comportamento possa essere modificato, se lo si desidera.

(*) Code Signing:

  • il codice può essere firmato con un certificato SHA2 su uno dei sistemi elencati come aventi compatibilità parziale o totale senza problemi;
  • esiste un'incompatibilità con i driver del kernel firmati SHA2 sulle piattaforme parzialmente compatibili. I driver del kernel firmati con certificati SHA2 non verranno installati sui sistemi elencati con compatibilità "parziale".
 

Client di posta elettronica

L'algoritmo hash della firma sul certificato stesso è indipendente dall'hash della firma posto su un'e-mail. Ad esempio, Outlook 2003 su XP SP3 può utilizzare un certificato firmato con SHA-256 per firmare un'e-mail di crittografia. Ma la firma sull'e-mail sarà limitata a SHA1.

CLIENT VERIFICA E-MAIL FIRMATE SHA-1 VERIFICA E-MAIL FIRMATE SHA-256 INVIA E-MAIL CON FIRMA SHA-1 INVIA E-MAIL CON FIRMA SHA-256
Mozilla Thunderbird 1 - 4 Si No Si No
Mozilla Thunderbird 5 - 37 Si Si Si No
Mozilla Thunderbird 38+ Si Si ??? No
IBM Notes 8 Si No Si No
IBM Notes 9 Si Si Si Si
Microsoft Entourage 2004 Si No Si No
Microsoft Entourage 2008 Si Si Si Si
Microsoft Outlook 2003 & 2007 on XP SP3 Si No Si No
Microsoft Outlook 2007 on Windows Vista Si Si Si Si
Outlook for Mac 2011 Si Si Si Si

Impostazione dell'algoritmo hash di Outlook su SHA-1

Outlook 2003: Tools> Options> Settings> Security> Settings> Hash Algorithm> SHA1

Outlook 2007, 2010, 2013: File> Options> Trust Center> Trust Center Settings> E-Mail Security> Settings> Hash Algorithm> SHA1

 

Firma di Documenti

SOFTWARE INSERISCE LA FIRMA SHA-1 COL CERTIFICATO SHA-256 INSERISCE LA FIRMA SHA-2 COL CERTIFICATO SHA-256 CONVALIDA LA FIRMA SHA-2
LibreOffice 4 Si No No
Microsoft Office 2003, 2007 Si No No
Microsoft Office 2010, 2013 Si Si Si
Adobe Acrobat 8.0+ Si Si Si
Adobe Reader 8.0+ Si (vedi nota) Si (vedi nota) Si

Nota: Adobe Reader 8+ può posizionare le firme con un ID digitale se la funzionalità è stata abilitata tramite Adobe Acrobat Professional.
Adobe Acrobat e Adobe Reader sono compatibili con i certificati SHA-256 a partire dalla versione 8.0, ma inseriscono ancora le firme SHA1 per impostazione predefinita. A partire dalla versione 9.1, Acrobat & Reader preferirà SHA-256 per l'hash della firma, se disponibile, altrimenti ricadrà su SHA1. Le firme SHA-2 possono essere preferite nelle versioni precedenti alla 9.1 tramite le modifiche al registro.
Le firme digitali inserite con le versioni più recenti di Microsoft Office potrebbero non essere retrocompatibili con le versioni precedenti. La compatibilità legacy può essere specificata manualmente. Office 2003 - 2010 work with SHA-2 certs, but place SHA1 signatures. Office 2013 uses SHA2 as the default signature hash when available. You can specify the signature hash in Office 2010 & 2013 via the registry.

 

Windows Code Signing

SISTEMA OPERATIVO ESEGUIBILI DRIVER DEL KERNEL MACRO VBA: OFFICE 2003,2007 MACRO VBA: OFFICE 2010 MACRO VBA: OFFICE 2013
Windows XP (SP1, SP2) No No No No N/D
Windows XP SP3 Si No No Si N/D
Windows Vista Si No No Si N/D
Windows 7 Si Si No Si Si
Windows 8 Si Si No Si Si

Office 2010 su Windows 7 richiede l'hotfix kb-2598139 per aggiungere il supporto SHA-256 per i certificati code signing.
Windows 7 e Windows Server 2008 R2 richiedono kb-3033929 per convalidare i driver del kernel firmati SHA-2. Questo aggiornamento non è disponibile per XP, Vista, 2003 o 2008.

TOOL VERSIONE MINIMA
Visual Studio Tools for Office (VSTO) 10.0.50325
 

Compatibilità SafeNet iKey/eToken

TOKEN FUNZIONA CON CERTIFICATI SHA-2 INSERISCE LA FIRMA SHA-1 INSERISCE LA FIRMA SHA-2
iKey 4000 Si Si No
eToken 5100 Si Si Si
 

Mainframe

MAINFRAME VERSIONE MINIMA
IBM z/OS v1r10
 

Supporto Citrix

PRODOTTO VERSIONE MINIMA
Citrix Receiver Vari (vedi PDF)