Compartir a través de

Aviso de implementación de febrero de 2024: Programa de certificados raíz de confianza de Microsoft

El 27 de febrero de 2024, Microsoft publicó una actualización del programa de certificados raíz de confianza de Microsoft.

Esta versión deshabilitará las siguientes raíces (entidad de certificación \ certificado raíz \ huella digital de SHA-1):

  1. China Financial Certification Authority (CFCA) // CFCA_root1 // EABDA240440ABBD694930A01D09764C6C2D77966
  2. DATEV eG // CA DATEV INT 03 // 924AEA47F73CB690565E552CFCC6E8D63EEE4242
  3. DATEV eG // CA DATEV STD 03 // 27EED22AFD58A2C64A855E3680AF898BF36CE503
  4. DATEV eG // CA DATEV BT 03 // 3DB66DFEBEB6712889E7C098B32805896B6218CC
  5. DigiCert // Symantec Class 3 Public Primary Certification Authority - G6 // 26A16C235A2472229B23628025BC8097C88524A1
  6. DigiCert // GeoTrust Primary Certification Authority // 323C118E1BF7B8B65254E2E2100DD6029037F096
  7. DigiCert // VeriSign Class 3 Public Primary Certification Authority - G3 // 132D0D45534B6997CDB2D5C339E25576609B5CC6
  8. DigiCert // Thawte Primary Root CA - G3 // F18B538D1BE903B6A6F056435B171589CAF36BF2
  9. DigiCert // GeoTrust Primary Certification Authority - G3 // 039EEDB80BE7A03C6953893B20D2D9323A4C2AFD
  10. DigiCert // Thawte Primary Root CA - G2 // AADBBC22238FC401A127BB38DDF41DDB089EF012
  11. DigiCert // GeoTrust Primary Certification Authority - G2 // 8D1784D537F3037DEC70FE578B519A99E610D7B0
  12. e-tugra // E-Tugra Certification Authority // 51C6E70849066EF392D45CA00D6DA3628FC35239
  13. Government of Hong Kong (SAR), Hongkong Post, Certizen // Hongkong Post Root CA 1 // D6DAA8208D09D2154D24B52FCB346EB258B28A58
  14. IZENPE S.A. // Izenpe.com // 30779E9315022E94856A3FF8BCF815B082F9AEFD
  15. Krajowa Izba Rozliczeniowa S.A. (KIR) // SZAFIR ROOT CA // D3EEFBCBBCF49867838626E23BB59CA01E305DB7

Esta versión agrega una fecha NotBefore a los certificados raíz siguientes (entidad de certificación \ certificado raíz \ huella digital de SHA-1):

  1. AC Camerfirma, S.A. // Chambers of Commerce Root // 6E3A55A4190C195C93843CC0DB722E313061F0B1
  2. Nets DanID // TRUST2408 OCES Primary CA // 5CFB1F5DB732E4084C0DD4978574E0CBC093BEB3

Esta versión agregará una propiedad NotBefore al EKU de autenticación del servidor en las siguientes raíces (entidad de certificación \ certificado raíz \ huella digital de SHA-1):

  1. AC Camerfirma, S.A. // Chambers of Commerce Root - 2008 // 786A74AC76AB147F9C6A3050BA9EA87EFE9ACE3C
  2. AC Camerfirma, S.A. // CHAMBERS OF COMMERCE ROOT - 2016 // 2DE16A5677BACA39E1D68C30DCB14ABE22A6179B
  3. AC Camerfirma, S.A. // Global Chambersign Root - 2008 // 4ABDEEEC950D359C89AEC752A12C5B29F6D6AA0C
  4. AC Camerfirma, S.A. // GLOBAL CHAMBERSIGN ROOT - 2016 // 1139A49E8484AAF2D90D985EC4741A65DD5D94E2

Esta versión eliminará las siguientes raíces (entidad de certificación \ certificado raíz \ huella digital de SHA-1):

  1. Deutsche Telekom Security GmbH // Deutsche Telekom Root CA 2 // 85A408C09C193E5D51587DCDD61330FD8CDE37BF
  2. Netrust Pte Ltd // Netrust_NetrustCA1 // 55C86F7414AC8BDD6814F4D86AF15F3710E104D0
  3. Sectigo // UTN-USERFirst-Client Authentication and Email // B172B1A56D95F91FE50287E14D37EA6A4463768A
  4. TurkTrust // TÜRKTRUST Elektronik Sertifika Hizmet Sağlayıcısı H5 // C418F64D46D1DF003D2730137243A91211C675FB
  5. Visa // Visa eCommerce Root // 70179B868C00A4FA609152223F9F3E32BDE00562

Directiva de supervisión de registros de transparencia de certificados (CTLM)
La directiva de supervisión de registro de transparencia de certificados (CTLM) ahora se incluye en el CTL mensual de Windows. Es una lista de servidores de registro de confianza pública que se usarán para validar la transparencia del certificado en Windows. Se espera que la lista de servidores de registro cambie con el tiempo a medida que se retiran o reemplazan, y esta lista refleja los servidores de registro de CT en los que confía Microsoft. En la próxima versión de Windows, los usuarios pueden optar por la validación de transparencia de certificados, lo que comprobará la presencia de dos marcas de tiempo de certificado firmadas (SCT) de diferentes servidores de registro en el CTLM. Esta funcionalidad se está probando actualmente con el registro de eventos solo para asegurarse de que es fiable antes de que las aplicaciones individuales puedan participar en el cumplimiento.

Nota:

  • Como parte de esta versión, Microsoft también actualizó la marca de tiempo y el número de secuencia de la CTL que no es de confianza. No se han hecho cambios en el contenido de la CTL sin confianza, pero esto motivará que el sistema descargue o actualice la CTL sin confianza. Se trata de una actualización normal que a veces se efectúa al actualizar la CTL raíz de confianza.
  • El paquete de actualización estará disponible para su descarga y prueba en: https://aka.ms/CTLDownload
  • Las firmas de las listas de confianza de certificados (CTL) del Programa de certificados raíz de confianza de Microsoft han pasado de la doble firma (SHA-1/SHA-2) a una firma SHA-2 única. No se requiere ninguna acción por parte del cliente. Para más información, visite https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus.