Ukončení platnosti protokolu SHA-1 Online Certificate Standard Protocol
Důležité
Tento článek byl publikován souběžně s popsanou změnou a neaktualizuje se. Aktuální informace o certifikačních autoritách najdete v podrobnostech certifikační autority Azure.
Microsoft aktualizuje službu OCSP (Online Certificate Standard Protocol) tak, aby splňovala nedávnou změnu standardních požadavků certifikační autority nebo fóra prohlížeče (CA/B fóra). Tato změna vyžaduje, aby všechny veřejně důvěryhodné infrastruktury veřejných klíčů (PKI) ukončily používání hashovacích algoritmů SHA-1 pro odpovědi protokolu OCSP do 31. května 2022.
Microsoft k zabezpečení svých služeb využívá certifikáty z více infrastruktur veřejných klíčů. Mnoho z těchto certifikátů už používá odpovědi OCSP, které používají hashovací algoritmus SHA-256. Tato změna přivádí všechny zbývající infrastruktury veřejných klíčů používané Microsoftem do souladu s tímto novým požadavkem.
Kdy k této změně dojde?
Od 28. března 2022 microsoft začne aktualizovat zbývající respondéry OCSP, které používají hashovací algoritmus SHA-1, aby používaly hashovací algoritmus SHA-256. Do 30. května 2022 budou všechny odpovědi OCSP pro certifikáty používané službami Microsoftu používat hashovací algoritmus SHA-256.
Jaký je rozsah změny?
Tato změna se týká odvolání na základě OCSP u infrastruktur veřejných klíčů provozovaných Microsoftem, které používaly algoritmy hash SHA-1. Všechny odpovědi OCSP budou používat algoritmus hash SHA-256. Tato změna se týká jenom odpovědí OCSP, ne samotných certifikátů.
Proč k této změně dochází?
Tento požadavek vytvořilo fórum certifikační autority nebo prohlížeče (fórum CA/B) z hlasovacího lístku SC53. Microsoft aktualizuje svou konfiguraci tak, aby zůstala v souladu s aktualizovaným požadavkem podle směrného plánu.
Ovlivní mě tato změna?
Na většinu zákazníků to nebude mít vliv. U některých starších klientských konfigurací, které nepodporují SHA-256, ale může dojít k chybě ověření certifikátu.
Po 31. květnu 2022 nebudou moct klienti, kteří nepodporují hodnoty hash SHA-256, ověřit stav odvolání certifikátu, což může v závislosti na konfiguraci způsobit selhání klienta.
Pokud nemůžete aktualizovat starší verzi klienta na klienta, který podporuje SHA-256, můžete zakázat kontrolu odvolání a obejít tak ocsp, dokud neaktualizujete klienta. Pokud je váš zásobník protokolu TLS (Transport Layer Security) starší než 2015, měli byste zkontrolovat případné nekompatibility ve své konfiguraci.
Další kroky
Pokud máte dotazy, kontaktujte nás prostřednictvím podpory.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro