Definições de descontinuação – Programa de Certificado Raiz Confiável da Microsoft

O Windows tem muitas opções para preterir as capbilidades de certificado raiz. Esses recursos estão listados aqui.

Remoção

Remoção de uma raiz da CTL. Todos os certificados que são encadeados à raiz não são mais confiáveis. Os usuários ainda podem instalar manualmente a raiz no repositório físico "Autoridades de Certificação Raiz Confiáveis" do Computador Local/Registro. No entanto, se instalado no computador local "Autoridades de Certificação Raiz Confiáveis"/Repositório físico de terceiros, será excluído automaticamente pelo serviço de atualização raiz automática.

Remoção de EKU

Remoção de um EKU específico de um certificado raiz. Todos os certificados de entidade final que se encadeiam a esta raiz não podem mais utilizar a EKU removida, independentemente de a assinatura digital ter sido ou não carimbada com data/hora.

Proibir

Esse recurso envolve a adição do certificado à CTL de não permissão e pode ser usado para revogar muitos tipos de certificados, como certificados autoassinados, certificados corporativos, certificados raiz confiáveis ou certificados folha de alto risco. Esse recurso revoga efetivamente o certificado. Os usuários não podem instalar manualmente a raiz e continuar a ter confiança.

Disable

Todos os certificados que são encadeados a uma raiz desabilitada não serão mais confiáveis com uma exceção muito importante; assinaturas digitais com um carimbo de data/hora antes da data de desabilitação continuarão a ser validadas com êxito.

Não Antes De

Permite a desabilitação granular de um certificado raiz ou uma funcionalidade específica de EKU de um certificado raiz. Os certificados emitidos APÓS a data NotBefore não serão mais confiáveis, no entanto, os certificados emitidos ANTES da data NotBefore continuarão sendo confiáveis. As assinaturas digitais com um carimbo de data/hora definido antes da data de NotBefore continuarão a ser validadas com êxito.