Zachód słońca dla podpisywania standardowego protokołu certyfikatu SHA-1 Online

Artykuł
04/22/2023

Ważne

Ten artykuł został opublikowany równocześnie z opisaną zmianą i nie jest aktualizowany. Aby uzyskać aktualne informacje o urzędach certyfikacji, zobacz Szczegóły urzędu certyfikacji platformy Azure.

Firma Microsoft aktualizuje usługę OCSP (Online Certificate Standard Protocol), aby zachować zgodność z najnowszymi zmianami wymagań bazowych urzędu certyfikacji/forum przeglądarki (CA/B Forum). Ta zmiana wymaga, aby wszystkie publicznie zaufane infrastruktury kluczy publicznych (PKI) zakończyły korzystanie z algorytmów wyznaczania wartości skrótu SHA-1 dla odpowiedzi OCSP do 31 maja 2022 r.

Firma Microsoft korzysta z certyfikatów z wielu kluczy publicznych w celu zabezpieczenia swoich usług. Wiele z tych certyfikatów używa już odpowiedzi OCSP, które używają algorytmu wyznaczania wartości skrótu SHA-256. Ta zmiana powoduje, że wszystkie pozostałe infrastruktury PKI używane przez firmę Microsoft są zgodne z tym nowym wymaganiem.

Kiedy ta zmiana nastąpi?

Od 28 marca 2022 r. firma Microsoft rozpocznie aktualizowanie pozostałych osób odpowiadających OCSP, które używają algorytmu wyznaczania wartości skrótu SHA-1 w celu użycia algorytmu wyznaczania wartości skrótu SHA-256. Do 30 maja 2022 r. wszystkie odpowiedzi OCSP dla certyfikatów używanych przez usługi firmy Microsoft będą używać algorytmu wyznaczania wartości skrótu SHA-256.

Jaki jest zakres zmiany?

Ta zmiana ma wpływ na odwoływanie oparte na protokole OCSP dla infrastruktury kluczy publicznych firmy Microsoft, które używały algorytmów wyznaczania skrótu SHA-1. Wszystkie odpowiedzi OCSP będą używać algorytmu wyznaczania skrótu SHA-256. Zmiana ma wpływ tylko na odpowiedzi OCSP, a nie same certyfikaty.

Dlaczego ta zmiana się dzieje?

Forum urzędu certyfikacji/przeglądarki (CA/B Forum) stworzyło to wymaganie na podstawie miary głosowania SC53. Firma Microsoft aktualizuje swoją konfigurację tak, aby pozostawała zgodna ze zaktualizowanym wymaganiem bazowym.

Czy ta zmiana wpłynie na mnie?

Większość klientów nie będzie mieć wpływu. Jednak niektóre starsze konfiguracje klienta, które nie obsługują algorytmu SHA-256, mogą wystąpić błąd weryfikacji certyfikatu.

Po 31 maja 2022 r. klienci, którzy nie obsługują skrótów SHA-256, nie będą mogli zweryfikować stanu odwołania certyfikatu, co może spowodować awarię klienta w zależności od konfiguracji.

Jeśli nie możesz zaktualizować starszego klienta do tego, który obsługuje algorytm SHA-256, możesz wyłączyć sprawdzanie odwołania w celu obejścia dostawcy OCSP do momentu zaktualizowania klienta. Jeśli stos protokołu Transport Layer Security (TLS) jest starszy niż 2015, należy przejrzeć konfigurację pod kątem potencjalnych niezgodności.

Następne kroki

Jeśli masz pytania, skontaktuj się z nami za pośrednictwem pomocy technicznej.