Modification des certificats Azure TLS
Important
Cet article a été publié simultanément avec la modification du certificat TLS et n’est pas mis à jour. Pour plus d’informations sur les autorités de certification, consultez les détails de l’autorité de certification Azure.
Microsoft utilise des certificats TLS à partir de l’ensemble d’autorités de certification racines qui adhèrent aux réglementations de référence du CA/Browser Forum. Tous les points de terminaison Azure TLS/SSL contiennent des certificats liés aux autorités de certification racines fournies dans cet article. Les modifications apportées aux points de terminaison Azure ont commencé leur transition en août 2020 et certains services terminent leur mise à jour en 2022. Tous les points de terminaison Azure TLS/SSL nouvellement créés contiennent des certificats mis à jour, liés aux nouvelles autorités de certification racines.
Tous les services Azure sont affectés par cette modification. Les détails de certains services sont listés ci-dessous :
- Les services Microsoft Entra ID (Microsoft Entra ID) ont commencé cette transition le 7 juillet 2020.
- Pour obtenir les informations les récentes sur les modifications de certificats TLS pour les services Azure IoT, consultez ce billet de blog Azure IoT.
- Azure IoT Hub a commencé cette transition en février 2023 et sa fin est prévue en octobre 2023.
- Azure IoT Central commencera cette transition en juillet 2023.
- Le Service IoT Hub Device Provisioning commencera cette transition en janvier 2024.
- Azure Cosmos DB a commencé cette transition en juillet 2022 et sa fin est prévue en octobre 2022.
- Des détails sur les modifications de certificat TLS de Stockage Azure sont disponibles dans ce billet de blog sur le Stockage Azure.
- Azure Cache pour Redis n’utilisera plus les certificats TLS émis par l’autorité de certification racine Baltimore CyberTrust à partir de mai 2022, comme cela est décrit dans cet article sur Azure Cache pour Redis
- Azure Instance Metadata Service a une fin attendue en mai 2022, comme cela est décrit dans ce billet de blog sur la gouvernance et la gestion d’Azure.
Qu’est ce qui a changé ?
Avant le changement, la plupart des certificats TLS utilisés par les services Azure étaient liés à l’autorité de certification racine suivante :
| Nom commun de l’autorité de certification | Empreinte (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Après le changement, les certificats TLS utilisés par les services Azure seront liés à l’une des autorités de certification racines suivantes :
| Nom commun de l’autorité de certification | Empreinte (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DigiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Mon application a-t-elle été affectée ?
Si votre application spécifie explicitement une liste d’autorités de certification acceptables, votre application a probablement été affectée. Cette pratique est appelée « épinglage de certificat ». Passez en revue l’article Microsoft Tech Community sur les modifications TLS du Stockage Azure pour plus d’informations sur la façon de déterminer si vos services ont été affectés et les étapes suivantes.
Voici quelques méthodes permettant de déterminer si votre application est impactée :
Recherchez dans votre code source l’empreinte, le nom commun ou d’autres propriétés de certificat de toutes les autorités de certification Microsoft IT TLS figurant dans le référentiel PKI Microsoft. En cas de correspondance, votre application sera impactée. Pour résoudre ce problème, mettez à jour le code source en incluant les nouvelles autorités de certification. Une bonne pratique consiste à vous assurer que les autorités de certification peuvent être ajoutées ou modifiées dans un court délai. Les réglementations du secteur exigent que les certificats d’autorité de certification soient remplacés dans les sept jours suivant la modification. Les clients qui s’appuient sur l’épinglage de certificats doivent donc réagir rapidement.
Si vous disposez d’une application qui s’intègre à des API Azure ou à d’autres services Azure et que vous ne savez pas si elle utilise l’épinglage de certificat, contactez le fournisseur de l’application.
Les différents systèmes d’exploitation et runtimes de langage qui communiquent avec les services Azure peuvent nécessiter des étapes supplémentaires pour générer correctement la chaîne de certificats avec ces nouvelles racines :
- Linux : de nombreuses distributions vous obligent à ajouter des autorités de certification à /etc/ssl/certs. Pour obtenir des instructions spécifiques, reportez-vous à la documentation de la distribution.
- Java : assurez-vous que le magasin de clés Java contient les autorités de certification listées ci-dessus.
- Windows exécuté dans des environnements déconnectés : pour les systèmes qui s’exécutent dans des environnements déconnectés, de nouvelles racines doivent être ajoutées au magasin d’autorités de certification racines de confiance et les intermédiaires au magasin d’autorités de certification intermédiaires.
- Android : consultez la documentation de votre appareil et de votre version d’Android.
- Autres appareils, en particulier IoT : contactez le fabricant de l’appareil.
Si vous disposez d’un environnement dans lequel les règles de pare-feu sont configurées pour autoriser les appels sortants uniquement vers des emplacements de téléchargement de liste de révocation de certificats et/ou de vérification de protocole OCSP (Online Certificate Status Protocol) spécifiques, vous devez autoriser les URL correspondantes suivantes. Pour obtenir la liste complète des URL CRL et OCSP utilisées dans Azure, consultez l’article sur les détails de l’autorité de certification Azure.
- http://crl3.digicert.com
- http://crl4.digicert.com
- http://ocsp.digicert.com
- http://crl.microsoft.com
- http://oneocsp.microsoft.com
- http://ocsp.msocsp.com
Étapes suivantes
Si vous avez des questions, contactez-nous par le biais du support.