Comparteix a través de


Cambios en los certificados TLS de Azure

Importante

Este artículo se publicó simultáneamente con el cambio de certificado TLS y no se está actualizando. Para obtener información actualizada sobre las entidades de certificación, consulte Detalles de la entidad de certificación de Azure.

Microsoft usa certificados TLS del conjunto de entidades de certificación raíz (CA) que cumplen los requisitos de línea de base del foro ca/explorador. Todos los puntos finales TLS/SSL de Azure contienen certificados que se encadenan con las CA raíz proporcionadas en este artículo. Los cambios en los puntos de conexión de Azure comenzaron a realizar la transición en agosto de 2020, con algunos servicios que completan sus actualizaciones en 2022. Todos los puntos de conexión de TLS/SSL de Azure recién creados contienen certificados actualizados que se encadenan a las nuevas entidades de certificación raíz.

Todos los servicios de Azure se ven afectados por este cambio. A continuación se enumeran los detalles de algunos servicios:

¿Qué ha cambiado?

Antes del cambio, la mayoría de los certificados TLS usados por los servicios de Azure se encadenaron a la siguiente CA raíz:

Nombre común de la CA Huella digital (SHA1)
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474

Después del cambio, los certificados TLS usados por los servicios de Azure se encadenarán a una de las siguientes CA raíz:

Nombre común de la CA Huella digital (SHA1)
DigiCert Global Root G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DigiCert Global Root CA a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST Root Class 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA Root Certificate Authority 2017 73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC Root Certificate Authority 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

¿Mi aplicación se vio afectada?

Si la aplicación especifica explícitamente una lista de CA aceptables, es probable que la aplicación se vea afectada. Esta práctica se conoce como anclaje de certificados. Revise el artículo de Microsoft Tech Community sobre Azure Storage cambios de TLS para obtener más información sobre cómo determinar si los servicios se vieron afectados y los pasos siguientes.

Estas son algunas maneras de detectar si una aplicación se vio afectada:

  • Busque en el código fuente la huella digital, el nombre común y otras propiedades de certificado de cualquiera de las entidades de certificación de Microsoft IT TLS que se encuentran aquí en el repositorio de Microsoft PKI. Si hay alguna coincidencia, la aplicación se verá afectada. Para resolver este problema, actualice el código fuente para incluir las nuevas entidades de certificación. Como procedimiento recomendado, asegúrese de que las entidades de certificación se pueden agregar o editar rápidamente. Las regulaciones del sector requieren que los certificados de las entidades de certificación se reemplacen en un plazo máximo de siete días del cambio, por lo que es preciso que los clientes que usan anclaje reaccionen con rapidez.

  • Si tiene alguna aplicación que se integra con las API de Azure u otros servicios de Azure y no está seguro de si usa el anclaje de certificados, póngase en contacto con el proveedor de la aplicación.

  • Los distintos sistemas operativos y entornos de ejecución de lenguaje que se comunican con los servicios de Azure pueden requerir más pasos para compilar correctamente la cadena de certificados con estas nuevas raíces:

    • Linux: muchas distribuciones requieren que se agreguen entidades de certificación a /etc/SSL/certs. Para obtener instrucciones específicas, vea la documentación de la distribución.
    • Java: asegúrese de que el almacén de claves de Java contenga las entidades de certificación indicadas anteriormente.
    • Windows se ejecuta en entornos desconectados: los sistemas que se ejecuten en entornos desconectados deberán agregar las nuevas raíces al almacén de entidades de certificación raíz de confianza y las intermedias al almacén de entidades de certificación intermedias.
    • Android: consulte la documentación del dispositivo y la versión de Android.
    • Otros dispositivos de hardware, especialmente IoT: póngase en contacto con el fabricante del dispositivo.
  • Si tiene un entorno en el que las reglas de firewall están configuradas para permitir las llamadas salientes sólo a determinadas ubicaciones de descarga de la Lista de Revocación de Certificados (CRL) o de verificación del Protocolo de Estado de los Certificados en Línea (OCSP), tendrá que permitir las siguientes URL de CRL y OCSP. Para obtener una lista completa de las URL de CRL y OCSP que se usan en Azure, consulte el artículo Información en detalle sobre CA de Azure.

    • http://crl3.digicert.com
    • http://crl4.digicert.com
    • http://ocsp.digicert.com
    • http://crl.microsoft.com
    • http://oneocsp.microsoft.com
    • http://ocsp.msocsp.com

Pasos siguientes

Si tiene alguna pregunta, póngase en contacto con nosotros a través del departamento de soporte técnico.