次の方法で共有


Uma atualização do roteiro de substituição do SHA-1

Por Microsoft Edge Team

Em Novembro, nós compartilhamos uma atualização da substituição do SHA-1 com alguns detalhes sobre o nosso calendário para bloquear os certificados de TLS assinados com SHA-1. Hoje gostaríamos de compartilhar mais alguns detalhes sobre a forma como esta será implementada.

Começando com o aniversário do Windows 10 Update, o Microsoft Edge e o Internet Explorer deixarão de considerar protegidos e seguros sites que usam um certificado de SHA-1 e irá remover o ícone do cadeado na barra de endereços para esses sites. Esses sites continuarão a funcionar, mas não serão considerados seguros. Esta alteração estará disponível futuramente dentro do Windows Insider Preview. Em Fevereiro de 2017, tanto o Microsoft Edge como o Internet Explorer bloquearão os certificados de TLS assinados com SHA-1.

Esta atualização será entregue ao Microsoft Edge no Windows 10 e Internet Explorer 11 no Windows 7, Windows 8.1 e Windows 10, e somente terá impacto na cadeia de certificados de CA no programa de Microsoft Trusted Root Certificate. Tanto o Microsoft Internet Explorer 11 e Microsoft Edge fornecerão detalhes adicionais no console das Ferramentas de desenvolvedor (F12) para ajudar aos administradores do site e desenvolvedores.

Informações adicionais sobre os planos de substituição do SHA-1 da Microsoft podem ser encontrados no TechNet.

Teste de bloqueio de certificados TLS/SHA-1

Você pode ativar o registro e permitir o “logging” do uso de certificados SHA1 digitando os seguintes comandos em um prompt de administrador. O comando a seguir não bloqueará o uso de certificados TLS/SHA1; no entanto, fará o “logging” do certificado para o diretório criado.

Primeiro crie um diretório de registro e permita o acesso universal:

set LogDir=C:\Log

mkdir %LogDir%

icacls %LogDir% /grant *S-1-15-2-1:(OI)(CI)(F)

icacls %LogDir% /grant *S-1-1-0:(OI)(CI)(F)

icacls %LogDir% /grant *S-1-5-12:(OI)(CI)(F)

icacls %LogDir% /setintegritylevel L

 

Ative o “logging” do certificado

Certutil -setreg chain\WeakSignatureLogDir %LogDir%

Certutil -setreg chain\WeakSha1ThirdPartyFlags 0x80900008

 

Use o comando a seguir para remover as configurações depois que você tiver concluído o teste.

Certutil -delreg chain\WeakSha1ThirdPartyFlags

Certutil -delreg chain\WeakSignatureLogDir

 

Informações adicionais sobre esses comandos podem ser encontrado aqui: Protegendo-se contra algoritmos fracos de criptografia .

 

– Alec Oot, Senior Program Manager
– Mike Stephens, Senior Program Manager

 

Original: https://blogs.windows.com/msedgedev/2016/04/29/sha1-deprecation-roadmap/