Compartir vía

Retirada de la firma SHA-1 del protocolo estándar de certificados en línea

  • Artículo

Importante

Este artículo se publicó simultáneamente con el cambio de certificado descrito y no se está actualizando. Para obtener información actualizada sobre las entidades de certificación, consulte Detalles de la entidad de certificación de Azure.

Microsoft está actualizando el servicio OCSP (protocolo estándar de certificados en línea) para cumplir con un cambio reciente en los requisitos de base de referencia de Certificate Authority (CA) Browser Forum. Este cambio requiere que todas las infraestructuras de clave pública (PKI) de confianza pública finalicen el uso de los algoritmos hash SHA-1 para las respuestas OCSP antes del 31 de mayo de 2022.

Microsoft saca provecho de los certificados de varios PKI para proteger sus servicios. Muchos de esos certificados ya usan respuestas OCSP que usan el algoritmo hash SHA-256. Este cambio hace que todos los PKI restantes usados por Microsoft cumplan este nuevo requisito.

¿Cuándo se producirá este cambio?

A partir del 28 de marzo de 2022, Microsoft comenzará a actualizar los respondedores OCSP restantes que usan el algoritmo hash SHA-1 para que usen el algoritmo hash SHA-256. Para el 30 de mayo de 2022, todos los respondedores OCSP para certificados usados por servicios de Microsoft utilizarán el algoritmo hash SHA-256.

¿Cuál es el ámbito del cambio?

Este cambio afecta a la revocación basada en OCSP para los PKI operados por Microsoft que usaban algoritmos hash SHA-1. Todas las respuestas OCSP usarán el algoritmo hash SHA-256. El cambio solo afecta a las respuestas OCSP, no a los propios certificados.

¿Por qué se está produciendo este cambio?

Certificate Authority (CA) Browser Forum creó este requisito a partir de la propuesta SC53. Microsoft está actualizando su configuración para alinearla con el requisito de base de referencia actualizado.

¿Me afectará este cambio?

La mayoría de los clientes no se verán afectados. Sin embargo, algunas configuraciones de cliente anteriores que no admiten SHA-256 podrían experimentar un error de validación de certificado.

Después del 31 de mayo de 2022, los clientes que no admitan hash SHA-256 no podrán validar el estado de revocación de un certificado, lo que podría provocar un error en el cliente, en función de la configuración.

Si no puede actualizar el cliente heredado a uno que admita SHA-256, puede deshabilitar la comprobación de revocación para omitir OCSP hasta que actualice el cliente. Si la pila de seguridad de la capa de transporte (TLS) es anterior a 2015, debe revisar la configuración en busca de posibles incompatibilidades.

Pasos siguientes

Si tiene alguna pregunta, póngase en contacto con nosotros a través del departamento de soporte técnico.