Solnedgång för SHA-1 Online Certificate Standard Protocol-signering

  • Artikel

Viktigt

Den här artikeln publicerades samtidigt med ändringen som beskrivs och uppdateras inte. Uppdaterad information om certifikatutfärdare finns i Information om Azure Certificate Authority.

Microsoft uppdaterar OCSP-tjänsten (Online Certificate Standard Protocol) för att uppfylla en nyligen ändrad baslinjekrav för certifikatutfärdare/webbläsarforum (CA/B-forum). Den här ändringen kräver att alla offentligt betrodda PKI:er (Public Key Infrastructures) slutanvändning av SHA-1-hashalgoritmerna för OCSP-svar senast den 31 maj 2022.

Microsoft använder certifikat från flera PKIs för att skydda sina tjänster. Många av dessa certifikat använder redan OCSP-svar som använder SHA-256-hashalgoritmen. Den här ändringen gör att alla återstående PKI:er som används av Microsoft följer det nya kravet.

När kommer den här ändringen att ske?

Från och med den 28 mars 2022 börjar Microsoft uppdatera sina återstående OCSP-svarare som använder SHA-1-hashalgoritmen för att använda SHA-256-hashalgoritmen. Senast den 30 maj 2022 använder alla OCSP-svar för certifikat som används av Microsoft-tjänster SHA-256-hashalgoritmen.

Vad är omfånget för ändringen?

Den här ändringen påverkar OCSP-baserat återkallning för de Microsoft-drivna PKIs som använde SHA-1-hashalgoritmer. Alla OCSP-svar använder SHA-256-hashalgoritmen. Ändringen påverkar bara OCSP-svar, inte själva certifikaten.

Varför sker den här ändringen?

Certifikatutfärdare/webbläsarforum (CA/B-forum) skapade detta krav från röstmåttet SC53. Microsoft uppdaterar sin konfiguration för att hålla sig i linje med det uppdaterade baslinjekravet.

Kommer den här ändringen att påverka mig?

De flesta kunder påverkas inte. Vissa äldre klientkonfigurationer som inte stöder SHA-256 kan dock uppleva ett certifikatverifieringsfel.

Efter den 31 maj 2022 kan klienter som inte stöder SHA-256-hashvärden inte verifiera återkallningsstatusen för ett certifikat, vilket kan leda till ett fel i klienten, beroende på konfigurationen.

Om du inte kan uppdatera den äldre klienten till en som stöder SHA-256 kan du inaktivera återkallningskontroll för att kringgå OCSP tills du uppdaterar klienten. Om TLS-stacken (Transport Layer Security) är äldre än 2015 bör du granska konfigurationen för potentiella inkompatibiliteter.

Nästa steg

Kontakta oss via support om du har frågor.