在 2025 年 5 月 27 日星期二,Microsoft 發行了 Microsoft 受信任根證書計劃的更新。
此版本會 新增 下列根憑證 (CA \ 根憑證 \ SHA-1 指紋):
- Secom // SECOM SMIME RSA Root CA 2024 // 90a5e1bdc53f6908c2e3739fe755e37f75f38447
- Secom // SECOM TLS ECC Root CA 2024 // 7a1f222d72b2c3198744db6169e8a64bd70d440e
- Secom // SECOM TLS RSA Root CA 2024 // fb97967cef8d986306c03bb611f8e01397a298d3
- 日本政府數字機構「日本政府根 CA 」 4dcf7d1b9b2608ed2c96b66b29610fcee76ac7f4
此版本將對下列根證書 (CA \ 根證書 \ SHA-1 指紋)新增時間戳:
- Secom // SECOM 檔簽署 RSA 根 CA 2023 // FDD93B294972BA743A0C2E6ABCFA10050652A047
此版本將 新增 下列根憑證的 EV CodeSign (CA \ 根憑證 \ SHA-1 指紋):
- GlobalSign // GlobalSign 程式簽署根 E45 // 79AA505EDD09B321E36D57910A5DF5A9FB85CC57
憑證透明度記錄監控器(CTLM)政策
憑證透明度記錄監視器 (CTLM) 原則現在包含在每月的 Windows CTL 中。 這是公開信任的記錄伺服器清單,用於驗證 Windows 上的憑證透明度。 記錄伺服器清單預期會隨著時間變動,因為伺服器會被淘汰或替換,而此清單會反映 Microsoft 所信任的 CT 記錄伺服器。 在即將推出的 Windows 版本中,使用者可以選擇憑證透明度驗證,以檢查 CTLM 中不同記錄伺服器是否有兩個已簽署的憑證時間戳 (SCT) 存在。 這項功能目前正在使用事件記錄進行測試,以確保在個別應用程式可以選擇強制執行之前可靠。
備註
- 在此版本中,Microsoft 也更新了未受信任的 CTL 時間戳和序號。 未對未受信任的 CTL 內容進行變更,但此更新會導致系統下載/重新整理未受信任的 CTL。 此更新是正常的,有時會在更新受信任的根 CTL 時發生。
- 更新套件可在下列位置下載及測試: https://aka.ms/CTLDownload
- Microsoft 受信任根計畫的憑證信任清單(CTL)上的簽章已從雙重簽署(SHA-1/SHA-2)變更為僅使用 SHA-2。 不需要客戶動作。 如需詳細資訊,請造訪: https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus