
<div dir="ltr"><div>Hi Tom-san</div><div><br></div><div>this patch (sha2 codesign for kernel mode on vista and win7) is already released?</div><div>our costumer seems encounter this problem but I am not sure exact reason.</div>

<div><br></div><div>thanks</div><div><br></div><div>inui </div><div>GlobalSign</div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">

<div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid"><br>

On 13/11/2013 17:43, "Tom Albertson" <<a href="mailto:tomalb@microsoft.com" target="_blank">tomalb@microsoft.com</a>> wrote:<br>

<br>

>Hi Rob,<br>

><br>

>Yes, we are making changes to supported Windows versions to support SHA-2<br>

>for kernel mode code signing.  The patch will come out publicly, and we<br>

>will notify kernel mode CAs about the expected timeframe and overall kmod<br>

>strategy.<br>

><br>

>Tom<br>

><br>

>-----Original Message-----<br>

>From: Rob Stradling [mailto:<a href="mailto:rob.stradling@comodo.com" target="_blank">rob.stradling@comodo.com</a>]<br>

>Sent: Wednesday, November 13, 2013 4:18 AM<br>

>To: Tom Albertson; Kelvin Yiu<br>

>Cc: <a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a><br>

>Subject: Microsoft SHA-1 deprecation problem for Kernel Mode Code Signing<br>

><br>

>Tom, Kelvin,<br>

><br>

>I know you're already aware that Windows Vista and Windows 7 are unable<br>

>to use SHA-2 certificates for Kernel Mode Code Signing.<br>

><br>

>Your SHA-1 deprecation advisory [1] says:<br>

>"Recommendation: Microsoft recommends that certificate authorities no<br>

>longer sign newly generated certificates using the SHA-1 hashing<br>

>algorithm and begin migrating to SHA-2. Microsoft also recommends that<br>

>customers replace their SHA-1 certificates with SHA-2 certificates at the<br>

>earliest opportunity."<br>

><br>

>I understand this to mean that, ideally, you'd like us to switch from<br>

>SHA-1 to SHA-2 _today_, for the issuance of new SSL certificates and Code<br>

>Signing Certificates.<br>

><br>

>Does this mean that you've managed to hotfix all deployed Vista/7 boxes<br>

>on the planet, so that SHA-2 certificates can now be used for Kernel Mode<br>

>Code Signing?<br>

><br>

>If not, how do you intend to address this issue?<br>

><br>

>(I presume you're not phasing out Windows 7 at the same time as phasing<br>

>out SHA-1!!)<br>

><br>

><br>

>[1] <a href="https://technet.microsoft.com/en-us/security/advisory/2880823" target="_blank">https://technet.microsoft.com/en-us/security/advisory/2880823</a><br>

><br>

>--<br>

>Rob Stradling<br>

>Senior Research & Development Scientist<br>

>COMODO - Creating Trust Online<br>

><br>

>_______________________________________________<br>

>Public mailing list<br>

><a href="mailto:Public@cabforum.org" target="_blank">Public@cabforum.org</a><br>

><a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>

<br>

<br>

</blockquote></div><br></div>

</blockquote></div><br></div></div>