Сегодня Microsoft объявила, что поддержка нескольких версий .NET Framework, подписанных с использованием устаревшего и небезопасного алгоритма безопасного хеширования 1 (SHA-1), прекратится в следующем году.
.NET Framework представляет собой бесплатную среду разработки программного обеспечения, которое помогает разработчикам создавать приложения .NET, веб - сайты и услуги, а пользователям запускать их на многих операционных системах (включая Windows), используя различные варианты реализации .NET.
«Поддержка .NET Framework 4.5.2, 4.6 и 4.6.1 прекратится 26 апреля 2022 года», - сказал Джамшед Дамкевала, главный технический менеджер .NET. «После этой даты мы больше не будем предоставлять обновления, включая исправления безопасности или техническую поддержку для этих версий». Единственным исключением является версия .NET Framework 4.6, которая поставляется с Windows 10 Enterprise LTSC 2015, поддержка которой будет продлена до октября 2025 года, когда ОС достигнет конца срока службы.
Разработчикам .NET рекомендуется перенести свои приложения как минимум на .NET Framework 4.6.2 или более позднюю версию до 26 апреля 2022 года, чтобы продолжать получать обновления безопасности и техническую поддержку. Разработчикам, которые еще не развернули .NET Framework 4.6.2 или более поздние версии своих приложений, требуется только обновить среду выполнения, в которой они работают, до версии не ниже 4.6.2.
.NET Framework 4.6.2 (выпущена почти пять лет назад) и .NET Framework 4.8 (выпущена два года назад) - это как стабильные среды выполнения, так и совместимые замены на месте, уже "широко развернутые на сотнях миллионов компьютеров через Центр обновления Windows (WU)."
«Если ваше приложение было создано для .NET Framework 4–4.6.1, оно должно продолжать работать на .NET Framework 4.6.2 и более поздних версиях без каких-либо изменений в большинстве случаев», - добавил Дамкевала, без необходимости перекомпилировать.
«Тем не менее, мы настоятельно рекомендуем вам убедиться, что функциональность вашего приложения не пострадает при работе в новой версии среды выполнения, прежде чем развертывать обновленную среду выполнения в производственной среде».
Microsoft удаляет эти версии .NET Framework, поскольку они имеют цифровую подпись с сертификатами, использующими устаревший алгоритм криптографического хеширования SHA-1, который сейчас небезопасен. В 2015 году исследователи безопасности выпустили отчет об уязвимости SHA-1 к атакам с коллизией, которые могут позволить злоумышленникам подделывать цифровые сертификаты для выдачи себя за компании или веб-сайты. Эти поддельные цифровые сертификаты могут использоваться для обмана компаний, повышения привилегий фишинговых сообщений или в других атаках, для отслеживания зашифрованных сетевых сеансов.
Начиная со следующего месяца, 9 мая, все основные службы и процессы Microsoft (включая подписание кода, хеширование файлов и сертификаты TLS) будут использовать исключительно алгоритм SHA-2. Microsoft также удалила весь подписанный Windows контент SHA-1 из Центра загрузки Microsoft в августе 2020 года после изменения подписи обновлений Windows для использования алгоритма SHA-2.
Также важно отметить, что, хотя Microsoft поддерживает только содержимое с подписью SHA-2, исполняемые файлы Windows, подписанные с использованием вручную установленных корпоративных сертификатов или самозаверяющих сертификатов SHA-1, все еще могут работать в операционной системе.
