Compartilhar via


Alterações no certificado TLS do Azure

Importante

Este artigo foi publicado simultaneamente com a alteração do certificado TLS, e não será atualizado. Para obter informações atualizadas sobre as ACs, consulte os Detalhes da Autoridade de Certificação do Azure.

A Microsoft usa certificados TLS do conjunto de autoridades de certificação (ACs) raiz que seguem os requisitos de linha de base do fórum de navegador/CA. Todos os pontos de extremidade do TLS/SSL do Azure contêm o encadeamento de certificados até as ACs raiz fornecida neste artigo. As alterações nos pontos de extremidade do Azure começaram a fazer a transição em agosto de 2020, com alguns serviços concluindo suas atualizações em 2022. Todos os pontos de extremidade do TLS/SSL do Azure recém-criados contêm o encadeamento de certificados atualizados até as novas ACs raiz.

Todos os serviços do Azure são afetados por essa alteração. Os detalhes de alguns serviços estão listados abaixo:

O que mudou?

Antes da alteração, a maioria dos certificados TLS usados pelos serviços do Azure eram encadeados à seguinte AC raiz:

Nome comum da AC Impressão digital (SHA1)
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474

Após a alteração, os certificados TLS usados pelos serviços do Azure serão encadeados a uma das seguintes ACs raiz:

Nome comum da AC Impressão digital (SHA1)
DigiCert Global Root G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DigiCert Global Root CA a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST Root Class 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA Root Certificate Authority 2017 73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC Root Certificate Authority 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

Meu aplicativo foi impactado?

Se o aplicativo especificar explicitamente uma lista de CAs aceitáveis, seu aplicativo provavelmente foi afetado. Essa prática é conhecida como anexação de certificado. Examine o artigo do Microsoft Tech Community sobre alterações de TLS do Armazenamento do Azure para obter mais informações sobre como determinar se seus serviços foram afetados e as próximas etapas.

Estas são algumas maneiras de detectar se o seu aplicativo foi afetado:

  • Pesquise o código-fonte para obter a impressão digital, o nome comum e outras propriedades de certificado de uma das ACs do TLS de TI da Microsoft encontradas no repositório de PKI da Microsoft. Se houver uma correspondência, seu aplicativo será afetado. Para resolver esse problema, atualize o código-fonte, incluindo as novas ACs. Como melhor prática, verifique se as ACs podem ser adicionadas ou editadas em curto prazo. Os regulamentos do setor exigem que os Certificados de AC sejam substituídos no prazo de até sete dias da alteração e, portanto, os clientes que dependem da anexação precisam tomar uma medida rapidamente.

  • Se você tiver um aplicativo que se integra às APIs do Azure ou a outros serviços do Azure e não tiver certeza se ele usa a anexação de certificado, verifique com o fornecedor do aplicativo.

  • Diferentes sistemas operacionais e runtimes de linguagem que se comunicam com os serviços do Azure podem exigir etapas adicionais para a criação correta da cadeia de certificados com estas novas raízes:

    • Linux: muitas distribuições exigem a adição das ACs a /etc/ssl/certs. Para obter instruções específicas, veja a documentação da distribuição.
    • Java: verifique se o repositório de chaves Java contém as ACs listadas acima.
    • Windows em execução em ambientes desconectados: os sistemas em execução em ambientes desconectados precisarão ter raízes adicionadas ao repositório de Autoridades de Certificação Raiz Confiáveis e os intermediários adicionados ao repositório de Autoridades de Certificação Intermediárias.
    • Android: verifique a documentação do dispositivo e a versão do Android.
    • Outros dispositivos de hardware, especialmente IoT: entre em contato com o fabricante do dispositivo.
  • Se você tiver um ambiente em que as regras de firewall estão definidas para permitir chamadas de saída somente para localizações específicas de download da CRL (lista de certificados revogados) e/ou de verificação do protocolo OCSP (Protocolo de Status do Certificado Online), será necessário permitir as seguintes URLs de CRL e OCSP. Para obter uma lista completa de URLs de CRL e OCSP usadas no Azure, consulte o Artigo de detalhes da AC do Azure.

    • http://crl3.digicert.com
    • http://crl4.digicert.com
    • http://ocsp.digicert.com
    • http://crl.microsoft.com
    • http://oneocsp.microsoft.com
    • http://ocsp.msocsp.com

Próximas etapas

Caso tenha outras dúvidas, entre em contato conosco por meio do suporte.