Desativação da assinatura do Protocolo Padrão de Certificado Online SHA-1

Artigo
04/28/2023

Importante

Este artigo foi publicado simultaneamente com a alteração descrita e não está sendo atualizado. Para obter informações atualizadas sobre as ACs, consulte os Detalhes da Autoridade de Certificação do Azure.

A Microsoft está atualizando o serviço OCSP (Protocolo Padrão de Certificado Online) para atender a uma alteração recente nos Requisitos de linha de base da Autoridade de Certificação/Fórum do Navegador (Fórum de CA/B). Essa alteração exige que todos os PKIs (Infraestruturas de Chave Pública) publicamente confiáveis terminem o uso dos algoritmos de hash SHA-1 para respostas OCSP até 31 de maio de 2022.

A Microsoft aproveita certificados de vários PKIs para proteger seus serviços. Muitos desses certificados já usam respostas do OCSP que usam o algoritmo de hash SHA-256. Essa alteração coloca todos os PKIs restantes usados pela Microsoft em conformidade com esse novo requisito.

Quando ocorrerá essa alteração?

A partir de 28 de março de 2022, a Microsoft começará a atualizar seus Respondentes OCSP restantes que usam o algoritmo de hash SHA-1 para que usem o algoritmo de hash SHA-256. Até 30 de maio de 2022, todas as respostas do OCSP para certificados usados pelos serviços da Microsoft usarão o algoritmo de hash SHA-256.

Qual é o escopo da mudança?

Essa mudança afeta a revogação baseada em OCSP para os PKIs operados pela Microsoft que estavam usando algoritmos de hash SHA-1. Todas as respostas do OCSP usarão o algoritmo de hash SHA-256. A mudança afeta apenas as respostas do OCSP, não os certificados em si.

Por que essas alterações são importantes?

O Fórum de Autoridade de Certificado/Navegador (Fórum de CA/B) criou esse requisito a partir da medida de votação SC53. A Microsoft está atualizando sua configuração para permanecer em linha com o Requisito de Linha de Base atualizado.

Esta alteração vai me afetar?

A maioria dos clientes não será afetada. No entanto, algumas configurações de cliente mais antigas que não dão suporte a SHA-256 podem enfrentar um erro de validação de certificado.

Após 31 de maio de 2022, os clientes que não derem suporte a hashes SHA-256 não poderão validar o status de revogação de um certificado, o que pode resultar em uma falha no cliente, dependendo da configuração.

Se não for possível atualizar seu cliente herdado para um que dê suporte ao SHA-256, você poderá desabilitar a verificação de revogação para ignorar o OCSP até atualizar o cliente. Se a pilha do TLS (Transport Layer Security) for anterior a 2015, você deverá revisar sua configuração quanto a possíveis incompatibilidades.

Próximas etapas

Caso tenha outras dúvidas, entre em contato conosco por meio do suporte.