Cambios en los certificados TLS de Azure
Importante
Este artículo se publicó simultáneamente con el cambio de certificado TLS y no se está actualizando. Para obtener información actualizada sobre las entidades de certificación, consulte Detalles de la entidad de certificación de Azure.
Microsoft usa certificados TLS del conjunto de entidades de certificación raíz (CA) que cumplen los requisitos de línea de base del foro ca/explorador. Todos los puntos finales TLS/SSL de Azure contienen certificados que se encadenan con las CA raíz proporcionadas en este artículo. Los cambios en los puntos de conexión de Azure comenzaron a realizar la transición en agosto de 2020, con algunos servicios que completan sus actualizaciones en 2022. Todos los puntos de conexión de TLS/SSL de Azure recién creados contienen certificados actualizados que se encadenan a las nuevas entidades de certificación raíz.
Todos los servicios de Azure se ven afectados por este cambio. A continuación se enumeran los detalles de algunos servicios:
- Los servicios de Microsoft Entra ID (Microsoft Entra ID) comenzaron esta transición el 7 de julio de 2020.
- A fin de obtener la información más actualizada sobre los cambios de certificado TLS para los servicios de Azure IoT, consulte esta entrada de blog de Azure IoT.
- Azure IoT Hub comenzó esta transición en febrero de 2023 y se espera que finalice en octubre de 2023.
- Azure IoT Central comenzará esta transición en julio de 2023.
- Azure IoT Hub Device Provisioning Service comenzará esta transición en enero de 2024.
- Azure Cosmos DB comienza esta transición en julio de 2022 y se espera que finalice en octubre de 2022.
- En esta entrada de blog de Azure Storage encontrará detalles sobre Azure Storage cambios de certificado TLS.
- Azure Cache for Redis dejará de utilizar los certificados TLS emitidos por Baltimore CyberTrust Root a partir de mayo de 2022, según se describe en este artículo Azure Cache for Redis
- Azure Instance Metadata Service tiene una finalización prevista en mayo de 2022, tal y como se describe en esta entrada de blog De gobernanza y administración de Azure.
¿Qué ha cambiado?
Antes del cambio, la mayoría de los certificados TLS usados por los servicios de Azure se encadenaron a la siguiente CA raíz:
| Nombre común de la CA | Huella digital (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Después del cambio, los certificados TLS usados por los servicios de Azure se encadenarán a una de las siguientes CA raíz:
| Nombre común de la CA | Huella digital (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DigiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
¿Mi aplicación se vio afectada?
Si la aplicación especifica explícitamente una lista de CA aceptables, es probable que la aplicación se vea afectada. Esta práctica se conoce como anclaje de certificados. Revise el artículo de Microsoft Tech Community sobre Azure Storage cambios de TLS para obtener más información sobre cómo determinar si los servicios se vieron afectados y los pasos siguientes.
Estas son algunas maneras de detectar si una aplicación se vio afectada:
Busque en el código fuente la huella digital, el nombre común y otras propiedades de certificado de cualquiera de las entidades de certificación de Microsoft IT TLS que se encuentran aquí en el repositorio de Microsoft PKI. Si hay alguna coincidencia, la aplicación se verá afectada. Para resolver este problema, actualice el código fuente para incluir las nuevas entidades de certificación. Como procedimiento recomendado, asegúrese de que las entidades de certificación se pueden agregar o editar rápidamente. Las regulaciones del sector requieren que los certificados de las entidades de certificación se reemplacen en un plazo máximo de siete días del cambio, por lo que es preciso que los clientes que usan anclaje reaccionen con rapidez.
Si tiene alguna aplicación que se integra con las API de Azure u otros servicios de Azure y no está seguro de si usa el anclaje de certificados, póngase en contacto con el proveedor de la aplicación.
Los distintos sistemas operativos y entornos de ejecución de lenguaje que se comunican con los servicios de Azure pueden requerir más pasos para compilar correctamente la cadena de certificados con estas nuevas raíces:
- Linux: muchas distribuciones requieren que se agreguen entidades de certificación a /etc/SSL/certs. Para obtener instrucciones específicas, vea la documentación de la distribución.
- Java: asegúrese de que el almacén de claves de Java contenga las entidades de certificación indicadas anteriormente.
- Windows se ejecuta en entornos desconectados: los sistemas que se ejecuten en entornos desconectados deberán agregar las nuevas raíces al almacén de entidades de certificación raíz de confianza y las intermedias al almacén de entidades de certificación intermedias.
- Android: consulte la documentación del dispositivo y la versión de Android.
- Otros dispositivos de hardware, especialmente IoT: póngase en contacto con el fabricante del dispositivo.
Si tiene un entorno en el que las reglas de firewall están configuradas para permitir las llamadas salientes sólo a determinadas ubicaciones de descarga de la Lista de Revocación de Certificados (CRL) o de verificación del Protocolo de Estado de los Certificados en Línea (OCSP), tendrá que permitir las siguientes URL de CRL y OCSP. Para obtener una lista completa de las URL de CRL y OCSP que se usan en Azure, consulte el artículo Información en detalle sobre CA de Azure.
- http://crl3.digicert.com
- http://crl4.digicert.com
- http://ocsp.digicert.com
- http://crl.microsoft.com
- http://oneocsp.microsoft.com
- http://ocsp.msocsp.com
Pasos siguientes
Si tiene alguna pregunta, póngase en contacto con nosotros a través del departamento de soporte técnico.