Condividi tramite


Avviso di distribuzione di febbraio 2024 - Programma radice attendibile Microsoft

Il 27 febbraio 2024 Microsoft ha rilasciato un aggiornamento al programma Microsoft Trusted Root Certificate Program.

Questa versione disabilita le radici seguenti (CA \ Certificato radice \ Identificazione personale SHA-1):

  1. China Financial Certification Authority (CFCA) // CFCA_root1 // EABDA240440ABBD694930A01D09764C6C2D77966
  2. DATEV eG // CA DATEV INT 03 // 924AEA47F73CB690565E52CFCC6E8D63 edizione Enterprise E4242
  3. DATEV eG // CA DATEV STD 03 // 27 edizione Enterprise D22AFD58A2C64A855E3680AF898BF36CE503
  4. DATEV eG // CA DATEV BT 03 // 3DB66DFEBEB6712889E7C098B32805896B6218CC
  5. DigiCert // Symantec Class 3 Public Primary Certification Authority - G6 // 26A16C235A247229B23628025BC8097C88524A1
  6. DigiCert // GeoTrust Primary Certification Authority // 323C118E1BF7B8B65254E2E2100DD6029037F096
  7. DigiCert // VeriSign Class 3 Public Primary Certification Authority - G3 // 132D0D45534B6997CDB2D5C339E25576609B5CC6
  8. DigiCert // Thawte Primary Root CA - G3 // F18B538D1BE903B6A6F056435B171589CAF36BF2
  9. DigiCert // Autorità di certificazione primaria GeoTrust - G3 // 039 edizione Enterprise DB80BE7A03C6953893B20D2D9323A4C2AFD
  10. DigiCert // Thawte Primary Root CA - G2 // AADBBC22238FC401A127BB38DDF41DDB089EF012
  11. DigiCert // GeoTrust Primary Certification Authority - G2 // 8D1784D537F3037DEC70FE578B519A99E610D7B0
  12. e-tugra // E-Tugra Certification Authority // 51C6E70849066EF392D45CA00D6DA3628FC35239
  13. Governo di Hong Kong (SAR), Hongkong Post, Certizen // Hongkong Post Root CA 1 // D6DAA8208D09D2154D24B52FCB346EB258B28A58
  14. IZENPE S.A. // Izenpe.com // 30779E9315022E94856A3FF8BCF815B082F9AEFD
  15. Krajowa Izba Rozliczeniowa S.A. (KIR) // SZAFIR ROOT CA // D3 edizione Enterprise FBCBBCF49867838626E23BB59CA01E305DB7

Questa versione notBefore le radici seguenti (CA \ Root Certificate \ SHA-1 Thumbprint):

  1. AC Camerfirma, S.A. // Chambers of Commerce Root // 6E3A55A4190C195C93843CC0DB722E313061F0B1
  2. Nets DanID // TRUST2408 CA primaria OCES // 5CFB1F5DB732E4084C0DD4978574E0CBC093BEB3

Questa versione notBefore the Server Authentication EKU for the following root (CA \ Root Certificate \ SHA-1 Thumbprint):

  1. AC Camerfirma, S.A. // Chambers of Commerce Root - 2008 // 786A74AC76AB147F9C6A3050BA9EA87EFE9ACE3C
  2. AC Camerfirma, S.A. // CHAMBERS OF COMMERCE ROOT - 2016 // 2DE16A5677BACA39E1D68C30DCB14ABE22A6179B
  3. AC Camerfirma, S.A. // Global Chambersign Root - 2008 // 4ABD edizione Enterprise EC950D359C89AEC752A12C5B29F6D6AA0C
  4. AC Camerfirma, S.A. // GLOBAL CHAMBERSIGN ROOT - 2016 // 1139A49E8484AAF2D90D985EC4741A65DD5D94E2

Questa versione rimuoverà le radici seguenti (CA \ Certificato radice \ Identificazione personale SHA-1):

  1. Deutsche Telekom Security GmbH // Deutsche Telekom Root CA 2 // 85A408C09C193E5D51587DCDD61330FD8CDE37BF
  2. Netrust Pte Ltd // Netrust_NetrustCA1 // 55C86F7414AC8BDD6814F4D86AF15F3710E104D0
  3. Sectigo // UTN-U edizione Standard RFirst-Client Authentication and Email // B172B1A56D95F91FE50287E14D37EA6A4463768A
  4. TurkTrust // TÜRKTRUST Genovaonik Sertifika Hizmet Sağlayıcısı H5 // C418F64D46D1DF003D2730137243A91211C675FB
  5. Visto // Visa e Commerce Root // 70179B868C00A4FA609152223F9F3E32BDE00562

Criteri ctlm (Certificate Transparency Log Monitor)
Il criterio CtLM (Certificate Transparency Log Monitor) è ora incluso nel CTL mensile di Windows. È un elenco di server di registrazione attendibili pubblicamente che verranno usati per convalidare la trasparenza dei certificati in Windows. L'elenco dei server di registrazione dovrebbe cambiare nel tempo man mano che vengono ritirati o sostituiti e questo elenco riflette i server di registrazione CT considerati attendibili da Microsoft. Nella prossima versione di Windows, gli utenti possono acconsentire esplicitamente alla convalida della trasparenza dei certificati, che verificherà la presenza di due timestamp del certificato firmato (SCTS) da server di registrazione diversi nel CTLM. Questa funzionalità è attualmente testata con la registrazione eventi solo per garantire che sia affidabile prima che le singole applicazioni possano acconsentire esplicitamente all'imposizione.

Nota

  • Come parte di questa versione, Microsoft ha aggiornato anche il timestamp CTL non attendibile e il numero di sequenza. Non sono state apportate modifiche al contenuto del CTL non attendibile, ma in questo modo il sistema scarica/aggiorna il CTL non attendibile. Si tratta di un aggiornamento normale che viene talvolta eseguito quando viene aggiornato il CTL radice attendibile.
  • Il pacchetto di aggiornamento sarà disponibile per il download e il test all'indirizzo: https://aka.ms/CTLDownload
  • Le firme negli elenchi di attendibilità dei certificati (CTL) per il programma radice attendibile Microsoft sono state modificate solo da SHA-1/SHA-2 (SHA-1/SHA-2). Nessuna azione del cliente necessaria. Per altre informazioni, visitare: https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus