Einstellung der SHA-1 Online Certificate Standard Protocol-Signatur

Artikel
04/27/2023

Wichtig

Dieser Artikel wurde gleichzeitig mit der beschriebenen Änderung veröffentlicht und wird nicht aktualisiert. Aktuelle Informationen zu Zertifizierungsstellen finden Sie unter Details zu Azure-Zertifizierungsstellen.

Microsoft aktualisiert den OCSP-Dienst (Online Certificate Standard Protocol), um eine aktuelle Änderung an den Baselineanforderungen des Forums für Zertifizierungsstelle/Browser (CA/B-Forum) zu erfüllen. Diese Änderung erfordert, dass alle öffentlich vertrauenswürdigen Public Key Infrastructures (PKIs) die Verwendung der SHA-1-Hashalgorithmen für OCSP-Antworten bis zum 31. Mai 2022 beenden.

Microsoft nutzt Zertifikate aus mehreren PKIs, um seine Dienste zu schützen. Viele dieser Zertifikate verwenden bereits OCSP-Antworten, die den SHA-256-Hashalgorithmus verwenden. Durch diese Änderung werden alle verbleibenden PKIs, die von Microsoft verwendet werden, mit dieser neuen Anforderung in Einklang gebracht.

Wann wird diese Änderung durchgeführt?

Ab dem 28. März 2022 beginnt Microsoft mit dem Aktualisieren der verbleibenden OCSP-Antwortdienste, die den SHA-1-Hashalgorithmus verwenden, sodass sie fortan den SHA-256-Hashalgorithmus verwenden. Bis zum 30. Mai 2022 werden alle OCSP-Antworten für Zertifikate, die von Microsoft-Diensten verwendet werden, den SHA-256-Hashalgorithmus verwenden.

Welchen Umfang hat die Änderung?

Diese Änderung wirkt sich auf die OCSP-basierte Sperrung für die von Microsoft betriebenen PKIs aus, die SHA-1-Hashalgorithmen verwendet haben. Alle OCSP-Antworten verwenden den SHA-256-Hashalgorithmus. Die Änderung wirkt sich nur auf OCSP-Antworten aus, nicht auf die Zertifikate selbst.

Warum geschieht diese Änderung?

Das Forum für Zertifizierungsstelle/Browser (CA/B-Forum) hat diese Anforderung aus dem Referendum SC53 erstellt. Microsoft aktualisiert seine Konfiguration, um mit der aktualisierten Baselineanforderung in Einklang zu bleiben.

Betrifft mich diese Änderung?

Die meisten Kunden sind nicht betroffen. Bei einigen älteren Clientkonfigurationen, die SHA-256 nicht unterstützen, kann jedoch ein Zertifikatüberprüfungsfehler auftreten.

Nach dem 31. Mai 2022 können Clients, die keine SHA-256-Hashes unterstützen, den Sperrstatus eines Zertifikats nicht mehr überprüfen, was je nach Konfiguration zu einem Fehler im Client führen kann.

Wenn Sie Ihren Legacyclient nicht auf einen Client aktualisieren können, der SHA-256 unterstützt, können Sie die Sperrüberprüfung deaktivieren, um OCSP zu umgehen, bis Sie Ihren Client aktualisiert haben. Wenn Ihr Transport Layer Security (TLS)-Stapel aus der Zeit vor 2015 ist, sollten Sie Ihre Konfiguration auf potenzielle Inkompatibilitäten überprüfen.

Nächste Schritte

Sollten Sie weitere Fragen haben, wenden Sie sich an den Support.