Temporisation pour la signature du protocole standard de certificat en ligne SHA-1

Article
04/24/2023

Important

Cet article a été publié simultanément avec la modification décrite et n’est pas mis à jour. Pour plus d’informations sur les autorités de certification, consultez les détails de l’autorité de certification Azure.

Microsoft met à jour le service de protocole standard de certificat en ligne (OCSP) pour se conformer à une modification récente des exigences de base du Certificate Authority / Browser Forum (CA/B Forum). Cette modification nécessite que toutes les infrastructures à clé publique (PKI) approuvées publiquement cessent d’utiliser des algorithmes de hachage SHA-1 pour les réponses OCSP d’ici le 31 mai 2022.

Microsoft utilise les certificats de plusieurs infrastructures à clé publique pour sécuriser ses services. Un grand nombre de ces certificats utilisent déjà des réponses OCSP qui utilisent l’algorithme de hachage SHA-256. Cette modification permet de s’assurer que toutes les infrastructures à clé publique restantes utilisées par Microsoft sont conformes à cette nouvelle exigence.

Quand cette modification aura-t-elle lieu ?

À compter du 28 mars 2022, Microsoft commencera à mettre à jour ses répondeurs OCSP restants qui utilisent l’algorithme de hachage SHA-1 pour utiliser l’algorithme de hachage SHA-256. D’ici le 30 mai 2022, toutes les réponses OCSP pour les certificats utilisés par des services Microsoft utiliseront l’algorithme de hachage SHA-256.

Quelle est l’étendue de la modification ?

Cette modification a une incidence sur la révocation basée sur le protocole OCSP pour les infrastructures à clé publique Microsoft qui utilisaient des algorithmes de hachage SHA-1. Toutes les réponses OCSP utiliseront l’algorithme de hachage SHA-256. La modification n’affecte que les réponses OCSP, pas les certificats eux-mêmes.

Pourquoi cette modification a-t-elle lieu ?

Certificate Authority / Browser Forum (CA/B Forum) a créé cette exigence à partir de la mesure de vote SC53. Microsoft met à jour sa configuration pour rester conforme à l'exigence de base mise à jour.

Ce changement m’affecte-t-il ?

La plupart des clients ne seront pas affectés. Toutefois, certaines configurations clientes plus anciennes qui ne prennent pas en charge SHA-256 peuvent rencontrer une erreur de validation de certificat.

Après le 31 mai 2022, les clients qui ne prennent pas en charge les hachages SHA-256 ne pourront pas valider l’état de révocation d’un certificat, ce qui peut entraîner une défaillance du client en fonction de la configuration.

Si vous ne parvenez pas à mettre à jour votre client hérité vers un client qui prend en charge l’algorithme SHA-256, vous pouvez désactiver la vérification de la révocation afin d’ignorer le protocole OCSP jusqu’à la mise à jour de votre client. Si votre pile TLS (Transport Layer Security) est antérieure à 2015, vous devez examiner votre configuration pour identifier les éventuelles incompatibilités.

Étapes suivantes

Si vous avez des questions, contactez-nous par le biais du support.