Share via

Zonsondergang voor SHA-1 Online Certificate Standard Protocol-ondertekening

  • Artikel

Belangrijk

Dit artikel is gepubliceerd gelijktijdig met de beschreven wijziging en wordt niet bijgewerkt. Zie Details van azure-certificeringsinstantie voor actuele informatie over CA's.

Microsoft werkt de OCSP-service (Online Certificate Standard Protocol) bij om te voldoen aan een recente wijziging in de basisvereisten voor certificeringsinstantie/browserforum (CA/B-forum). Deze wijziging vereist dat alle openbaar vertrouwde PFI's (Public Key Infrastructures) het gebruik van de SHA-1-hashalgoritmen voor OCSP-antwoorden uiterlijk op 31 mei 2022 beëindigen.

Microsoft maakt gebruik van certificaten van meerdere PKI's om haar services te beveiligen. Veel van deze certificaten maken al gebruik van OCSP-antwoorden die gebruikmaken van het HASH-algoritme SHA-256. Deze wijziging zorgt dat alle resterende PKI's die door Microsoft worden gebruikt, voldoen aan deze nieuwe vereiste.

Wanneer vindt deze wijziging plaats?

Vanaf 28 maart 2022 begint Microsoft met het bijwerken van de resterende OCSP Responders die gebruikmaken van het SHA-1 hash-algoritme om het SHA-256-hash-algoritme te gebruiken. Tegen 30 mei 2022 gebruiken alle OCSP-antwoorden voor certificaten die worden gebruikt door Microsoft-services het HASH-algoritme SHA-256.

Wat is het bereik van de wijziging?

Deze wijziging is van invloed op ocsp-intrekking voor de door Microsoft beheerde PVI's die gebruikmaken van SHA-1-hashingalgoritmen. Alle OCSP-antwoorden gebruiken het HASH-algoritme SHA-256. De wijziging is alleen van invloed op OCSP-antwoorden, niet op de certificaten zelf.

Waarom vindt deze wijziging plaats?

De certificeringsinstantie/browserforum (CA/B-forum) heeft deze vereiste gemaakt op basis van stemmeting SC53. Microsoft werkt de configuratie bij om in overeenstemming te blijven met de bijgewerkte basislijnvereiste.

Heeft deze wijziging gevolgen voor mij?

De meeste klanten worden niet beïnvloed. Sommige oudere clientconfiguraties die sha-256 niet ondersteunen, kunnen echter een certificaatvalidatiefout ervaren.

Na 31 mei 2022 kunnen clients die sha-256-hashes niet ondersteunen, de intrekkingsstatus van een certificaat niet valideren, wat kan leiden tot een fout in de client, afhankelijk van de configuratie.

Als u uw verouderde client niet kunt bijwerken naar een client die SHA-256 ondersteunt, kunt u de intrekkingscontrole uitschakelen om OCSP te omzeilen totdat u uw client bijwerkt. Als uw TLS-stack (Transport Layer Security) ouder is dan 2015, moet u uw configuratie controleren op mogelijke incompatibiliteit.

Volgende stappen

Als u vragen hebt, neemt u contact met ons op via ondersteuning.