在CloudFlare，我们致力于确保站点不仅安全，而且还可供最广泛的用户使用。在接下来的几个月里，谷歌的Chrome浏览器和Mozilla的Firefox浏览器都在改变他们对某些网站证书的政策。我们意识到了这些变化，我们已经修改了SSL产品，以确保客户网站继续安全，并对所有访问者可用。Chrome（和Firefox）和SHA-1谷歌将在即将发布的版本中对其Chrome浏览器进行修改，以改变他们基于数字签名处理某些网站证书的方式。这些变化影响了超过80%的网站。正如我们在CFSSL上的博客文章中所描述的，web站点证书是使用信任链来组织的。数字签名是连接链中证书的粘合剂。每个证书由其颁发者使用由密钥类型和加密哈希函数（如MD5、SHA-1、SHA-256）定义的数字签名算法进行数字签名。从chrome39开始（将于本月，2014年11月发布），使用SHA-1签名算法签名的证书将被认为比使用更现代的SHA-2算法签名的证书更不可信。这种变化将反映在呈现给web访问者的UI中。Chrome 41（2015年初）中，任何证书在2016年或之后过期的网站将显示为不可信，如果：证书是用SHA-1算法签名的其信任链中的一个证书是用SHA-1算法签名的（根是例外）Chromium博客上的这篇文章概述了推出计划。想要保持googlechrome信任的网站需要有一个SHA-2证书或者一个在2016年之前过期的SHA-1证书。否则，他们的网站会在Chrome用户面前显示如下警告：Mozilla也在2015年初对其Firefox浏览器进行了类似的更改，如果SHA-1证书在2016年或以后过期，则将其标记为不可信。兼容性优先Chrome的决定让许多网站所有者陷入困境。站点要么必须重新颁发有效期较短的SHA-1证书，要么升级到SHA-2。升级的问题是并不是所有的web浏览器都支持SHA-2证书。值得注意的是，WindowsXPSP2不支持基于SHA-2的证书。尽管微软不再支持windowsxp，但它仍然是一种流行的操作系统。它在中国这个世界上最大的互联网市场尤其受欢迎。使用SHA-2证书的站点无法通过https访问这些web用户。GlobalSign列出了一份完整的SHA-2客户端支持列表。由于浏览器不兼容，试图升级到SHA-2的网站遭到了强烈反对。七月，mozilla.org网站将他们的网站升级为使用SHA-2证书。由于浏览器不兼容，他们每周损失了大约145000次Firefox下载。偶数谷歌（截至2014年11月10日）出于兼容性的原因继续使用SHA-1，尽管该公司极力反对在Chrome中使用SHA-1。要同时支持Chrome和windowsxpsp2，必须使用在2016年之前过期的SHA-1证书。这是我们为CloudFlare托管证书选择的选项。CloudFlare客户上周，我们为付费的CloudFlare客户重新颁发了所有证书。新证书使用SHA-1签名算法签名，并在2016年之前过期。这样一来，所有的客户网站都可以在windowsxpsp2和Chrome上被访问者看到，就像今天一样。所有付费客户现在都可以获得CloudFlare托管的SHA-1证书，该证书将于2015年底到期。所有免费客户都通过CloudFlare的Universal SSL获得证书。它们默认为SHA-2。对于使用CloudFlare证书的客户，无需执行任何操作。已经联系了可能受更改影响的具有自定义证书的企业和企业客户，并提供了详细信息和具体说明。HTTPS在CloudFlare的未来2015年，我们将向所有付费客户推出最先进的SNI证书，并保留SHA-1证书作为备用。这意味着，任何支持我们使用Universal SSL（ECDSA、SHA-256和SNI）引入的现代安全功能的浏览器都将获得现代证书，旧浏览器（如Windows XP上的IE）将显示当前的SHA-1证书。这确保了付费CloudFlare服务上的所有站点都能被尽可能多的用户访问，同时为任何支持它的浏览器提供最先进的安全性。