Delen via

Kennisgeving van implementatie van februari 2024 - Vertrouwd basisprogramma van Microsoft

  • Artikel

Op 27 februari 2024 heeft Microsoft een update uitgebracht voor het vertrouwde basiscertificaatprogramma van Microsoft.

In deze release worden de volgende roots uitgeschakeld (CA \ Basiscertificaat \ SHA-1 Vingerafdruk):

  1. China Financial Certification Authority (CFCA) // CFCA_root1 // EABDA240440ABBD694930A01D09764C6C2D77966
  2. DATEV eG // CA DATEV INT 03 // 924AEA47F73CB690565E52CFCC6E8D63EEE4242
  3. DATEV eG // CA DATEV STD 03 // 27EED22AFD58A2C64A855E3680AF898BF36CE503
  4. DATEV eG // CA DATEV BT 03 // 3DB66DFEBEB6712889E7C098B32805896B6218CC
  5. DigiCert // Symantec Class 3 Public Primary Certification Authority - G6 // 26A16C235A2472229B23628025BC8097C88524A1
  6. DigiCert // GeoTrust Primary Certification Authority // 323C118E1BF7B8B65254E2E2100D6029037F096
  7. DigiCert // VeriSign-klasse 3 Openbare primaire certificeringsinstantie - G3 // 132D0D45534B6997CDB2D5C339E25576609B5CC6
  8. DigiCert // Primaire basis-CA thawte - G3 // F18B538D1BE903B6A6F056435B171589CAF36BF2
  9. DigiCert // Primaire certificeringsinstantie GeoTrust - G3 // 039EEDB80BE7A03C6953893B20D2D9323A4C2AFD
  10. DigiCert // Primaire basis-CA thawte - G2 // AADBBC22238FC401A127BB38DDF41DDB089EF012
  11. DigiCert // Primaire certificeringsinstantie GeoTrust - G2 // 8D1784D537F3037DEC70FE578B519A99E610D7B0
  12. e-tugra // E-Tugra-certificeringsinstantie // 51C6E70849066EF392D45CA00D6DA3628FC35239
  13. Overheid van Hongkong (SAR), Hongkong Post, Certizen // Hongkong Post Root CA 1 // D6DAA8208D09D2154D24B52FCB346EB258B28A58
  14. IZENPE S.A. // Izenpe.com // 30779E9315022E94856A3FF8BCF815B082F9AEFD
  15. Krajowa Izba Rozliczeniowa S.A. (KIR) // SZAFIR ROOT CA // D3EEFBCBBCF49867838626E23BB59CA01E305DB7

In deze release worden de volgende roots (CA \ Basiscertificaat \ SHA-1 Vingerafdruk) niet weergegeven :

  1. AC Camerfirma, S.A. // Kamer van Koophandel Root // 6E3A55A4190C195C93843CC0DB722E313061F0B1
  2. Nets DanID // TRUST2408 OCES Primary CA // 5CFB1F5DB732E4084C0DD4978574E0CBC093BEB3

In deze release wordt de EKU voor serververificatie niet voor de volgende hoofdmappen (CA \ basiscertificaat \ SHA-1 vingerafdruk) weergegeven:

  1. AC Camerfirma, S.A. // Kamer van Koophandel Root - 2008 // 786A74AC76AB147F9C6A3050BA9EA87EFE9ACE3C
  2. AC Camerfirma, S.A. // KAMER VAN HANDEL ROOT - 2016 // 2DE16A5677BACA39E1D68C30DCB14ABE22A6179B
  3. AC Camerfirma, S.A. // Global Chambersign Root - 2008 // 4ABDEEEC950D359C89AEC752A12C5B29F6D6AA0C
  4. AC Camerfirma, S.A. // GLOBAL CHAMBERSIGN ROOT - 2016 // 1139A49E8484AAF2D90D985EC4741A65DD5D94E2

Deze release verwijdert de volgende roots (CA \ Basiscertificaat \ SHA-1 Vingerafdruk):

  1. Deutsche Telekom Security GmbH // Deutsche Telekom Root CA 2 // 85A408C09C193E5D51587DCD61330FD8CDE37BF
  2. Netrust Pte Ltd // Netrust_NetrustCA1 // 55C86F7414AC8BDD6814F4D86AF15F3710E104D0
  3. Sectigo // UTN-USERFirst-Client Authentication and Email // B172B1A56D95F91FE50287E14D37EA6A4463768A
  4. TurkTrust // TÜRKTRUST Elektronik Sertifika Hizmet Sağlayıcısı H5 // C418F64D46D1DF003D2730137243A91211C675FB
  5. Visa // Visa eCommerce Root // 70179B868C00A4FA609152223F9F3E32BDE00562

CtLM-beleid (Certificate Transparency Log Monitor)
Het CTLM-beleid (Certificate Transparency Log Monitor) is nu opgenomen in de maandelijkse Windows CTL. Het is een lijst met openbaar vertrouwde logboekregistratieservers die worden gebruikt voor het valideren van certificaattransparantie in Windows. De lijst met logboekregistratieservers wordt naar verwachting in de loop van de tijd gewijzigd wanneer ze buiten gebruik worden gesteld of vervangen. Deze lijst weerspiegelt de CT-logboekregistratieservers die Microsoft vertrouwt. In de komende Windows-release kunnen gebruikers zich aanmelden voor validatie van certificaattransparantie, waarmee wordt gecontroleerd op de aanwezigheid van twee ondertekende certificaattijdenstempels (SCT's) van verschillende logboekservers in de CTLM. Deze functionaliteit wordt momenteel getest met gebeurtenislogboekregistratie om ervoor te zorgen dat deze betrouwbaar is voordat afzonderlijke toepassingen zich kunnen aanmelden voor afdwinging.

Notitie

  • Als onderdeel van deze release heeft Microsoft ook het niet-vertrouwde CTL-tijdstempel en het volgnummer bijgewerkt. Er zijn geen wijzigingen aangebracht in de inhoud van de niet-vertrouwde CTL, maar dit zorgt ervoor dat uw systeem de niet-vertrouwde CTL downloadt/vernieuwt. Dit is een normale update die soms wordt uitgevoerd wanneer de vertrouwde basis-CTL wordt bijgewerkt.
  • Het updatepakket is beschikbaar voor downloaden en testen op: https://aka.ms/CTLDownload
  • Handtekeningen op de certificaatvertrouwenslijsten (CCL's) voor het Vertrouwde basisprogramma van Microsoft zijn gewijzigd van alleen SHA-1/SHA-2 (dual-signed) in SHA-2. Er is geen actie van de klant vereist. Ga voor meer informatie naar: https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus