Aviso de implementación de mayo de 2019 (1 de mayo): Programa de certificados raíz de confianza de Microsoft

El martes 28 de mayo de 2019, Microsoft lanzó una actualización planeada del Programa de certificados raíz de confianza de Microsoft.

Esta versión modificará el OID de EV de las siguientes raíces (certificado raíz \ huella digital de SHA-1):

1. Hongkong Post Root CA 3 \ 58A2D0EC2052815BC1F3F86402244EC28E024B02
2. IdenTrust Commercial Root CA 1 \ DF717EAA4AD94EC9558499602D48DE5FBCF03A25

Esta versión agrega una fecha NotBefore al EKU de autenticación del servidor en los certificados raíz siguientes, según el Blog de seguridad de Windows:

1. VeriSign Universal Root Certification Authority \ 3679CA35668772304D30A5FB873B0FA77BB70D54
2. thawte Primary Root CA-G3 \ F18B538D1BE903B6A6F056435B171589CAF36BF2
3. GeoTrust Primary Certification Authority-G3 \ 039EEDB80BE7A03C6953893B20D2D9323A4C2AFD
4. GeoTrust \ 323C118E1BF7B8B65254E2E2100DD6029037F096
5. thawte \ 91C6D6EE3E8AC86384E548C299295C756C817B81
6. VeriSign \ 4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5
7. VeriSign \ 132D0D45534B6997CDB2D5C339E25576609B5CC6

Nota:

• Windows 10 permite dejar de confiar en los certificados raíz o los EKU mediante las propiedades "NotBefore" o "Disable", que nos permiten quitar ciertas funcionalidades del certificado raíz sin eliminarlo por completo. Estas características no están disponibles en las versiones anteriores a Windows 10. Las versiones anteriores de Windows no se verán afectadas por este cambio.
• Las fechas NotBefore y Disable se establecen para el primer día del mes de lanzamiento. Esto significa que afectarán a todos los certificados emitidos después del 1 de mayo.
• El paquete de actualización estará disponible para su descarga y prueba en: https://aka.ms/CTLDownload