Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Azure offre una soluzione TLS gestita completa integrata con diversi servizi Microsoft. Questa funzionalità include certificati del server TLS gestiti per i domini personali dei clienti, forniti da DigiCert.
In seguito all'evoluzione degli standard di conformità del settore, dei requisiti di sicurezza e delle modifiche del ciclo di vita dell'infrastruttura a chiave pubblica, questa offerta subirà diversi aggiornamenti principali nel 2025 e nel 2026 che influiranno sull'utilizzo di questa funzionalità da parte dei clienti.
Aggiornamenti PKI
A partire dalla fine del 2025, Azure ha iniziato ad aggiornare la soluzione TLS gestita per allinearsi ai requisiti futuri del browser. Queste modifiche influiscono su tutti i certificati TLS gestiti rilasciati per i servizi di Azure seguenti:
- Frontdoor di Azure (AFD) e rete CDN classica
- SKU Standard/Premium di Azure Front Door
- Gestione API di Azure
- Servizio app di Azure
- App contenitore di Azure
- App Web statiche di Azure
Modifiche principali:
Questo aggiornamento include due modifiche chiave:
Nuove autorità di certificazione radice e subordinate (CAs):
- Tutti i certificati TLS gestiti eseguiranno la migrazione da autorità di certificazione (CA) sotto DigiCert Global Root CA a CA sotto DigiCert Global Root G2 e DigiCert Global Root G3. Questa transizione garantisce la conformità ai requisiti del Trusted Root Program del browser.
Rimozione dell'autenticazione client EKU
- Queste nuove Autorità di Certificazione non supporteranno l'autenticazione del client in conformità ai requisiti del programma di radice fidata del browser. Tutti i certificati TLS gestiti nelle nuove ca includeranno solo l'utilizzo della chiave estesa per l'autenticazione server (EKU).
Potenziale impatto del cliente
Per prepararsi alla modifica, è importante sapere come le modifiche potrebbero influire potenzialmente sui clienti.
Associazione del certificato
- Se si associano certificati o chiavi pubbliche, è necessario aggiornare i set di aggiunta in modo da includere i nuovi certificati radice e intermedi.
- Il blocco statico è fortemente sconsigliato a causa del rischio operativo.
Autenticazione client
- Se l'applicazione si basa sull'autenticazione client EKU nei certificati pubblici, è necessario aggiornare la configurazione in modo da usare i certificati di altre ca.
- I certificati TLS gestiti supporteranno solo l'autenticazione server EKU.
Convalida del dominio
A partire dalla fine del 2025, DigiCert sta passando a una nuova piattaforma di convalida del controllo di dominio (OSS) software open source progettata per migliorare la trasparenza e la responsabilità nei processi di convalida del dominio. DigiCert non supporterà più il precedente flusso di lavoro DCV della delega CNAME per la convalida del controllo del dominio nei servizi di Azure specificati.
Di conseguenza, questi servizi di Azure introducono un processo avanzato di convalida del controllo del dominio, con l'obiettivo di accelerare significativamente la convalida del dominio e risolvere le principali vulnerabilità nell'esperienza utente.
Questa modifica non influisce sul processo DCV CNAME standard per i clienti DigiCert, in cui la convalida usa un valore casuale nel record CNAME. Solo questo flusso di lavoro per la convalida usato in precedenza da Microsoft viene ritirato.
Avvertimento
I clienti che non hanno aggiornato le proprie configurazioni in modo che siano conformi alle modifiche TLS gestite avranno un'interruzione del servizio se non aggiornano la configurazione.
- Quando scade il certificato corrente, viene garantita un'interruzione.
- Un'interruzione potrebbe verificarsi se il certificato viene revocato.
In caso di revoca, i certificati devono essere revocati entro 24 ore, come richiesto dai Requisiti di Base del CA/Browser Forum, lasciando pochissimo tempo per reagire. I clienti devono aggiornare le configurazioni con urgenza per evitare interruzioni.
Domande frequenti
D: Il supporto per i domini personalizzati è in fase di ritiro?
No. La funzionalità è molto supportata e in effetti riceve diversi aggiornamenti chiave che migliorano l'esperienza utente complessiva.
Annotazioni
Gli SKU AFD Classic e CDN Classic, attualmente in fase di deprecazione, cessano di supportare l'aggiunta di nuovi domini personalizzati. Per altre informazioni, vedere Frontdoor di Azure (versione classica) e rete CDN di Azure dagli SKU classici di Microsoft terminano la convalida del dominio basata su CNAME classica e le nuove creazioni di domini/profili entro il 15 agosto 2025. I clienti sono consigliati per usare certificati TLS gestiti con SKU AFD Standard e Premium per i nuovi domini personalizzati.
D: Che cos'è la convalida del controllo di dominio?
Domain Control Validation (DCV) è un processo critico usato per verificare che un'entità che richiede un certificato TLS/SSL abbia un controllo legittimo sui domini elencati nel certificato.
D: DigiCert sta dismettendo la validazione del controllo del dominio CNAME?
No. Solo questo metodo di convalida CNAME specifico per i servizi di Azure è in fase di ritiro. Il metodo DCV CNAME usato dai clienti DigiCert, ad esempio quello descritto per i certificati OV/EV DigiCert e i certificati DV, non subisce effetti.
Questa modifica influisce solo su Azure.
D: Perché Microsoft esegue la migrazione ai certificati root DigiCert Global Root G2 e G3?
Questa modifica è allineata agli standard di settore e ai requisiti futuri del browser. Il 15 aprile 2026 Mozilla e Chrome sfiducieranno la CA globale DigiCert. Per mantenere l'attendibilità, tutti i certificati TLS gestiti passeranno a DigiCert Global Root G2 e DigiCert Global Root G3 prima di questa data. Per altre informazioni, vedere Aggiornamenti del certificato radice e intermedio della CA DigiCert 2023.
D: Perché l'autenticazione client EKU viene rimossa?
Si tratta di un cambiamento su scala industriale guidato dal programma Chrome Trusted Root. Chrome limita i certificati TLS all'autenticazione server per migliorare la sicurezza e la conformità. Per altre informazioni, vedere Disabilitazione dell'autenticazione client EKU nei certificati TLS pubblici DigiCert.