Sunset for SHA-1 Online Certificate Standard Protocol signing (Sunset for SHA-1 Online Certificate Standard Protocol signing)
Importante
Este artigo foi publicado em simultâneo com a alteração descrita e não está a ser atualizado. Para obter informações atualizadas sobre as ACs, veja Detalhes da Autoridade de Certificação do Azure.
A Microsoft está a atualizar o serviço OCSP (Online Certificate Standard Protocol) para cumprir uma alteração recente aos Requisitos de Linha de Base do Fórum da Autoridade de Certificação/Browser (FÓRUM CA/B ). Esta alteração requer que todas as Infraestruturas de Chaves Públicas (PKIs) de confiança pública terminem a utilização dos algoritmos hash SHA-1 para respostas OCSP até 31 de maio de 2022.
A Microsoft tira partido de certificados de vários PKIs para proteger os respetivos serviços. Muitos desses certificados já utilizam respostas OCSP que utilizam o algoritmo hash SHA-256. Esta alteração coloca todas as PKIs restantes utilizadas pela Microsoft em conformidade com este novo requisito.
Quando é que esta alteração vai acontecer?
A partir de 28 de março de 2022, a Microsoft começará a atualizar os respetivos Respostas OCSP restantes que utilizam o algoritmo hash SHA-1 para utilizar o algoritmo hash SHA-256. Até 30 de maio de 2022, todas as respostas OCSP para certificados utilizados pelos serviços Microsoft utilizarão o algoritmo hash SHA-256.
Qual é o âmbito da alteração?
Esta alteração afeta a revogação baseada em OCSP para as PKIs operadas pela Microsoft que estavam a utilizar algoritmos de hash SHA-1. Todas as respostas OCSP utilizarão o algoritmo hash sha-256. A alteração só afeta as respostas OCSP, não os próprios certificados.
Porque é que esta alteração está a acontecer?
O Fórum da Autoridade de Certificação/Browser (FÓRUM CA/B) criou este requisito a partir da medida de escrutínio SC53. A Microsoft está a atualizar a configuração para se manter em conformidade com o Requisito de Linha de Base atualizado.
Esta mudança vai afectar-me?
A maioria dos clientes não será afetada. No entanto, algumas configurações de cliente mais antigas que não suportam SHA-256 podem deparar-se com um erro de validação de certificados.
Após 31 de maio de 2022, os clientes que não suportam hashes SHA-256 não conseguirão validar o estado de revogação de um certificado, o que pode resultar numa falha no cliente, dependendo da configuração.
Se não conseguir atualizar o cliente legado para um que suporte SHA-256, pode desativar a verificação de revogação para ignorar o OCSP até atualizar o cliente. Se a pilha transport layer security (TLS) for anterior a 2015, deve rever a configuração para potenciais incompatibilidades.
Passos seguintes
Se tiver dúvidas, contacte-nos através do suporte.