Tramonto per la firma del protocollo Standard del certificato online SHA-1
Importante
Questo articolo è stato pubblicato simultaneamente alla modifica descritta e non viene aggiornato. Per informazioni aggiornate sulle autorità di certificazione, vedere Dettagli dell'autorità di certificazione di Azure.
Microsoft sta aggiornando il servizio Online Certificate Standard Protocol (OCSP) per rispettare una modifica recente ai requisiti di base dell'autorità di certificazione/browser (CA/B Forum). Questa modifica richiede che tutti gli algoritmi hash SHA-1 per le risposte OCSP siano stati utilizzati pubblicamente dal 31 maggio 2022.
Microsoft sfrutta i certificati da più PKI per proteggere i servizi. Molti di questi certificati usano già risposte OCSP che usano l'algoritmo hash SHA-256. Questa modifica porta tutte le altre PKI usate da Microsoft in conformità a questo nuovo requisito.
Quando verrà applicata questa modifica?
A partire dal 28 marzo 2022, Microsoft inizierà ad aggiornare i risponditori OCSP rimanenti che usano l'algoritmo hash SHA-1 per usare l'algoritmo hash SHA-256. Dal 30 maggio 2022 tutte le risposte OCSP per i certificati usati dai servizi Microsoft useranno l'algoritmo hash SHA-256.
Qual è l'ambito della modifica?
Questa modifica influisce sulla revoca basata su OCSP per le PKI gestite da Microsoft che usano algoritmi di hash SHA-1. Tutte le risposte OCSP useranno l'algoritmo di hash SHA-256. La modifica influisce solo sulle risposte OCSP, non sui certificati stessi.
Perché questo cambiamento sta accadendo?
Il forum dell'autorità di certificazione/browser (FORUM CA/B) ha creato questo requisito dalla misura di ballottaggio SC53. Microsoft sta aggiornando la configurazione per rimanere in linea con il requisito previsto aggiornato.
Quali sono gli effetti di questa modifica?
La maggior parte dei clienti non sarà influenzata. Tuttavia, alcune configurazioni client precedenti che non supportano SHA-256 potrebbero riscontrare un errore di convalida del certificato.
Dopo il 31 maggio 2022, i client che non supportano hash SHA-256 non potranno convalidare lo stato di revoca di un certificato, che potrebbe causare un errore nel client, a seconda della configurazione.
Se non è possibile aggiornare il client legacy a uno che supporta SHA-256, è possibile disabilitare il controllo della revoca per ignorare OCSP finché non si aggiorna il client. Se lo stack Transport Layer Security (TLS) è precedente al 2015, è necessario esaminare la configurazione per potenziali incompatibilità.
Passaggi successivi
Se hai domande, contattaci tramite il supporto tecnico.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per