Завершение использования подписи SHA-1 OCSP
Важно!
Эта статья была опубликована одновременно с описанным изменением и не обновляется. Актуальные сведения о центрах сертификации см. в разделе Сведения о центрах сертификации Azure.
Корпорация Майкрософт обновляет службу OCSP, чтобы соответствовать недавним изменениям базовых требований Форума CA/B (центров сертификации и браузеров). Для этого изменения необходимо не позднее 31 мая 2022 года прекратить использование всех общедоступных инфраструктур открытых ключей (PKI), которые используются в качестве алгоритмов хэширования SHA-1 в ответах службы OCSP.
Корпорация Майкрософт использует сертификаты нескольких PKI для защиты своих служб. Многие из этих сертификатов уже используют ответы OCSP с хэш-алгоритмом SHA-256. Это изменение приводит в соответствие новым требованием все остальные PKI, используемые корпорацией Майкрософт.
Когда будет применено это изменение?
Начиная с 28 марта 2022 г. корпорация Майкрософт начнет обновление тех респондентов OCSP, которые до сих пор использую хэш-алгоритм SHA-1, для использования хэш-алгоритма SHA-256. До 30 мая 2022 г. все ответы службы OCSP для сертификатов, используемых всеми службами Майкрософт, будут использовать хэш-алгоритм SHA-256.
Какая область затрагивается изменением?
Это изменение отзывает все PKI, управляемые корпорацией Майкрософт, которые использовали OCSP на основе хэш-алгоритма SHA-1. Теперь все ответы OCSP будут использовать хэш-алгоритм SHA-256. Изменение влияет только на ответы OCSP, но не на сами сертификаты.
Почему происходит это изменение?
Форум CA/B (центров сертификации и браузеров) создал это требование на основе бюллетеня SC53. Корпорация Майкрософт обновляет используемую конфигурацию, чтобы соответствовать обновленным базовым требованиям.
Повлияет ли это изменение на работу?
Большинство клиентов не будут затронуты. Но в некоторых старых конфигурациях с клиентами, не поддерживающими SHA-256, может возникнуть ошибка проверки сертификата.
После 31 мая 2022 г. клиенты, которые не поддерживают хэши SHA-256, не смогут проверить состояние отзыва сертификата, что может привести к сбою в клиенте (в зависимости от конфигурации).
Если вы не можете обновить устаревший клиент до версии, поддерживающей SHA-256, временно отключите проверку отзыва, чтобы не использовать службу OCSP до обновления клиента. Если ваш стек TLS старше версии 2015, следует проверить конфигурацию на наличие потенциальных несовместимостей.
Дальнейшие действия
Если у вас есть вопросы, свяжитесь с нашей службой поддержки.
Кері байланыс
Жақында қолжетімді болады: 2024 жыл бойы біз GitHub Issues жүйесін мазмұнға арналған кері байланыс механизмі ретінде біртіндеп қолданыстан шығарамыз және оны жаңа кері байланыс жүйесімен ауыстырамыз. Қосымша ақпаратты мұнда қараңыз: https://aka.ms/ContentUserFeedback.
Жіберу және пікірді көру