由于sha1签名算法进入淘汰阶段，逐渐弃用中，sha1升级为sha2是大势所趋。

微软已经正式发布sha1弃用策略： http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx

谷歌没多久也发布sha1的日落计划： http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1.html

下面我们来关注几个重要的日子：

2014年9月，2017后依然未过期的sha1证书，chrome将给予告警

2014年12月，2016年6月1日以后过期的sha1证书，chrome给予告警

2015年2月，任意2016年以后仍生效的sha1证书，chrome给予告警。

2016年1月，微软将不信任不带时间戳的sha1的代码签名。

2017年1月，微软和Mozilla都将不再信任sha1的ssl证书。

针对sha2的升级策略，我们易维信做出如下方案：

在2014年12月份，默认签发sha2的证书，在此期间，如果不是2017年前仍生效的证书，可选择重颁发sha1证书。2016年1月1日以后，不再发出任何sha1证书