Uma atualização do roteiro de substituição do SHA-1
Em Novembro, nós compartilhamos uma atualização da substituição do SHA-1 com alguns detalhes sobre o nosso calendário para bloquear os certificados de TLS assinados com SHA-1. Hoje gostaríamos de compartilhar mais alguns detalhes sobre a forma como esta será implementada.
Começando com o aniversário do Windows 10 Update, o Microsoft Edge e o Internet Explorer deixarão de considerar protegidos e seguros sites que usam um certificado de SHA-1 e irá remover o ícone do cadeado na barra de endereços para esses sites. Esses sites continuarão a funcionar, mas não serão considerados seguros. Esta alteração estará disponível futuramente dentro do Windows Insider Preview. Em Fevereiro de 2017, tanto o Microsoft Edge como o Internet Explorer bloquearão os certificados de TLS assinados com SHA-1.
Esta atualização será entregue ao Microsoft Edge no Windows 10 e Internet Explorer 11 no Windows 7, Windows 8.1 e Windows 10, e somente terá impacto na cadeia de certificados de CA no programa de Microsoft Trusted Root Certificate. Tanto o Microsoft Internet Explorer 11 e Microsoft Edge fornecerão detalhes adicionais no console das Ferramentas de desenvolvedor (F12) para ajudar aos administradores do site e desenvolvedores.
Informações adicionais sobre os planos de substituição do SHA-1 da Microsoft podem ser encontrados no TechNet.
Teste de bloqueio de certificados TLS/SHA-1
Você pode ativar o registro e permitir o “logging” do uso de certificados SHA1 digitando os seguintes comandos em um prompt de administrador. O comando a seguir não bloqueará o uso de certificados TLS/SHA1; no entanto, fará o “logging” do certificado para o diretório criado.
Primeiro crie um diretório de registro e permita o acesso universal:
set LogDir=C:\Log
mkdir %LogDir%
icacls %LogDir% /grant *S-1-15-2-1:(OI)(CI)(F)
icacls %LogDir% /grant *S-1-1-0:(OI)(CI)(F)
icacls %LogDir% /grant *S-1-5-12:(OI)(CI)(F)
icacls %LogDir% /setintegritylevel L
Ative o “logging” do certificado
Certutil -setreg chain\WeakSignatureLogDir %LogDir%
Certutil -setreg chain\WeakSha1ThirdPartyFlags 0x80900008
Use o comando a seguir para remover as configurações depois que você tiver concluído o teste.
Certutil -delreg chain\WeakSha1ThirdPartyFlags
Certutil -delreg chain\WeakSignatureLogDir
Informações adicionais sobre esses comandos podem ser encontrado aqui: Protegendo-se contra algoritmos fracos de criptografia .
– Alec Oot, Senior Program Manager
– Mike Stephens, Senior Program Manager
Original: https://blogs.windows.com/msedgedev/2016/04/29/sha1-deprecation-roadmap/