SHA–1을 사용하는 웹 서버 인증서를 SHA256으로 바꿔야 할 때가 예정된 일정보다 빠르게 오고 있다. 컴퓨팅 파워의 발전과 클라우드 덕분에 SHA–1을 이용해 위조된 인증서를 만들어내는 데 필요한 비용이 매우 저렴해졌기 때문이다

Google, Microsoft, Mozilla 모두 2016년 1월부터 새로 발급되는 사이트의 인증서 중에서 SHA–1을 이용하는 곳을 지원하지 않기로 했을 뿐더러, 7월부터는 기존 웹 사이트들에게도 동일한 정책 적용하기로 했다. 각 제조사/재단의 지원 일정은 아래 링크를 참조하면 된다.

Microsoft의 경우, 프로그램 배포에 사용되는 코드 사인용 인증서에도 동일한 정책을 적용한다: Windows Enforcement of Authenticode Code Signing and Timestamping

국내에 미치는 영향은 꽤 클 것이다. 특히 금융 서비스를 제공하는 기관들은 더 그러하지 않을까 싶다. 이미 저물고 있는 ActiveX도 실행 파일 배포에 코드 사인 인증서를 사용하는 데다가, https 서비스를 제공하는데 필요한 이해가 낮아보인다.

HTTPS 서비스 서버의 구성에 필요한 암호 알고리즘 이해는 (AhnLab의 개발실장으로 계셨던) 플라이하이 김기영 대표님이 정리한 문서를 참조하면 될 듯싶다: 웹 서비스를 위한 보안서버 구축방향