Sdílet prostřednictvím

Oznámení o nasazení z února 2024 – Důvěryhodný kořenový program Microsoftu

27. února 2024 společnost Microsoft vydala aktualizaci programu Důvěryhodný kořenový certifikát společnosti Microsoft.

Tato verze zakáže následující kořeny (CA \ Kořenový certifikát \ SHA-1 kryptografický otisk):

  1. Čínská finanční certifikační autorita (CFCA) // CFCA_root1 // EABDA240440ABBD694930A01D09764C6C2D77966
  2. DATEV eG // CA DATEV INT 03 // 924AEA47F73CB690565E552CFCC6E8D63EEE4242
  3. DATEV eG // CA DATEV STD 03 // 27EED2AFD58A2C64A855E3680AF898BF36CE503
  4. DATEV eG // CA DATEV BT 03 // 3DB66DFEB6712889E7C098B32805896B6218CC
  5. DigiCert // Symantec – veřejná primární certifikační autorita – G6 // 26A16C235A247229B23628025BC8097C88524A1
  6. DigiCert // GeoTrust – primární certifikační autorita // 323C118E1BF7B8B65254E2E2100DD6029037F096
  7. DigiCert // VeriSign – veřejná primární certifikační autorita – G3 // 132D0D4534B6997CDB2D5C339E25576609B5CC6
  8. DigiCert // Thawte Primary Root CA – G3 // F18B538D1BE903B6A6F056435B171589CAF36BF2
  9. DigiCert // GeoTrust Primary Certification Authority - G3 // 039EEDB80BE7A03C6953893B20D2D9323A4C2AFD
  10. DigiCert // Thawte Primární kořenová certifikační autorita – G2 // AADBBC22238FC401A127BB38DDF41DDB089EF012
  11. DigiCert // GeoTrust Primary Certification Authority - G2 // 8D1784D537F3037DEC70FE578B519A99E610D7B0
  12. e-tugra // E-Tugra Certifikační autorita // 51C6E70849066EF392D45CA00D6DA3628FC35239
  13. Vláda Hongkongu (SAR), Hongkong Post, Certizen // Hongkong Post Root CA 1 // D6DAA8208D09D2154D24B52FCB346EB258B28A58
  14. IZENPE S.A. // Izenpe.com // 30779E9315022E94856A3FF8BCF815B082F9AEFD
  15. Krajowa Izba Rozliczeniowa S.A. (KIR) // SZAFIR ROOT CA // D3EEFBCBBCF49867838626E23BB59CA01E305DB7

Tato verze nebude obsahovat následující kořeny (CA \ Kořenový certifikát \ SHA-1 kryptografický otisk):

  1. AC Camerfirma, S.A. // Komory obchodní kořen // 6E3A55A4190C195C93843CC0DB722E313061F0B11
  2. Nets DanID // TRUST2408 primární ca OCES // 5CFB1F5DB732E4084C0DD4978574E0CBC093BEB3

V této verzi nebudemeforovat ověřování serveru EKU pro následující kořeny (CA \ Kořenový certifikát \ SHA-1 kryptografický otisk):

  1. AC Camerfirma, S.A. // Komnaty obchodní kořen - 2008 // 786A74AC76AB147F9C6A3050BA9EA87EFE9ACE3C
  2. AC Camerfirma, S.A. // CHAMBERS OF COMMERCE ROOT - 2016 // 2DE16A5677BACA39E1D68C30DCB14ABE22A6179B
  3. AC Camerfirma, S.A. // Global Chambersign Root - 2008 // 4ABDEEEC950D359C89AEC752A12C5B29F6D6AA0C
  4. AC Camerfirma, S.A. // GLOBAL CHAMBERSIGN ROOT - 2016 // 1139A49E84AAF2D90D985EC4741A65D5D94E2

Tato verze odebere následující kořeny (CA \ Kořenový certifikát \ SHA-1 kryptografický otisk):

  1. Deutsche Telekom Security GmbH // Deutsche Telekom Root CA 2 // 85A408C09C193E5D51587DCDD61330FD8CDE37BF
  2. Netrust Pte Ltd // Netrust_NetrustCA1 // 55C86F7414AC8BDD6814F4D86AF15F3710E104D0
  3. Sectigo // UTN-USERFirst-Client Authentication and Email // B172B1A56D95F91FE50287E14D37EA6A4463768A
  4. TurkTrust // TÜRKTRUST Elektronik Sertifika Hizmet Sağlayıcısı H5 // C418F64D46D1DF003D2730137243A91211C675FB
  5. Visa // Visa eCommerce Root // 70179B868C00A4FA609152223F9F3E32BDE00562

Zásady CTLM (Certificate Transparency Log Monitor)
Zásady CTLM (Certificate Transparency Log Monitor) jsou teď součástí měsíční hodnoty CTL systému Windows. Je to seznam veřejně důvěryhodných protokolovacích serverů, které se použijí k ověřování transparentnosti certifikátů ve Windows. Očekává se, že se seznam serverů protokolování v průběhu času změní, protože jsou vyřazené nebo nahrazené, a tento seznam odráží servery protokolování CT, kterým Microsoft důvěřuje. V nadcházející verzi Windows se uživatelé můžou přihlásit k ověření transparentnosti certifikátu, což zkontroluje přítomnost dvou časových razítek podepsaných certifikátů (SCT) z různých protokolovacích serverů v CTLM. Tato funkce se v současné době testuje s protokolováním událostí, aby bylo zajištěno, že je spolehlivá předtím, než se jednotlivé aplikace můžou přihlásit k vynucení.

Poznámka:

  • V rámci této verze Společnost Microsoft také aktualizovala časové razítko nedůvěryhodné hodnoty CTL a pořadové číslo. V obsahu nedůvěryhodné hodnoty CTL nebyly provedeny žádné změny, ale to způsobí, že váš systém stáhne nebo aktualizuje nedůvěryhodnou hodnotu CTL. Jedná se o normální aktualizaci, která se někdy provádí při aktualizaci hodnoty CTL důvěryhodného kořenového adresáře.
  • Balíček aktualizací bude k dispozici ke stažení a testování na adrese: https://aka.ms/CTLDownload
  • Podpisy v seznamech důvěryhodnosti certifikátů (CTLs) pro důvěryhodný kořenový program Microsoftu se změnily pouze z duálního podpisu (SHA-1/SHA-2) na SHA-2. Nevyžaduje se žádná akce zákazníka. Další informace najdete tady: https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus
  • Last updated on