SHA1 - SSL/TLS 密碼套件

SHA-1 即將棄用，特別是對於數字認證 (x509)。但是我找不到關於 SSL/TLS 密碼套件中的 SHA-1 棄用的資源。

是否隱含，因為棄用意味著在所有情況下都將棄用 SHA-1 的使用？或者在密碼套件中是否有關於 SHA-1 使用的不同策略？

我也不明白攻擊者如何偽造 SHA1 證書籤名，因為雜湊仍然受到簽名（CA 私鑰）的“保護”。因此，通過衝突偽造散列，可以，但是人們會檢測到散列不再受信任（簽名不一樣）。我想念什麼？

密碼不使用簽名方案。它們確實使用了不同的 MAC（並使用了散列函式的 HMAC 變體，例如 HMAC-SHA1）。以這種方式使用 SHA1（或 MD5 也沒有危險，但如果可以避免的話，我不建議這樣做）。TLS 1.0 和 TLS 1.1 在內部也使用 SHA1 和 MD5，但這仍然被認為是安全的，因為它們的使用方式與證書不同。SHA1 被棄用的主要原因是社區認為攻擊者有朝一日可能很快獲得偽造 SHA1 證書籤名的能力。

引用自：https://crypto.stackexchange.com/questions/20572