Delen via

Kennisgeving van implementatie van mei 2024 - Vertrouwd basisprogramma van Microsoft

  • Artikel

Op dinsdag 28 mei 2024 heeft Microsoft een update uitgebracht voor het Microsoft Trusted Root Certificate Program.

In deze release worden de volgende hoofdmappen (CA \ Basiscertificaat \ SHA-1 Vingerafdruk) toegevoegd:

  • D-TRUST // D-TRUST EV Root CA 2 2023 // 8E8221B2E7D4007836A1672F0DCC299C33BC07D316F132FA1A206D587150F1CE
  • D-TRUST // D-Trust SBR Root CA 1 2022 // D92C171F5CF890BA428019292927FE22F3207FD2B54449CB6F675AF4922146E2
  • D-TRUST // D-Trust SBR Root CA 2 2022 // DBA84DD7EF622D485463A90137EA4D574DF8550928F6AFA03B4D8B1141E636CC
  • D-TRUST // D-TRUST BR Root CA 1 2020 // E59AAA816009C22BFF5B25BAD37DF306F049797C1F81D85AB089E657BD8F0044
  • D-TRUST // D-TRUST BR Root CA 2 2023 // 0552E6F83FDF65E8FA9670E666DF28A4E21340B510CBE52566F97C4FB94B2BD1
  • D-TRUST // D-TRUST EV Root CA 1 2020 // 08170D1AA36453901A2F959245E347DB0C8D37ABAABC56B81AA100DC958970DB
  • NAVER Cloud Trust Service // NAVER Cloud Trust Services ECC Root G1 // 87E73E149246AA634308E3A3142B1417F00FE25D
  • NAVER Cloud Trust Service // NAVER Cloud Trust Services RSA Root G1 // C4DA90EE324D7E4D041CB1F286FBB45388207CA1
  • QuoVadis // QuoVadisSigningECCP384RootG4 // 771535D43D4633BD307EB7B8A3966B5DF00707C08808920080C1AE6D3CB0F68
  • QuoVadis // QuoVadisSigningRSA4096RootG4 // 9F8E6DB31E740285E0C2C2DEB09E442BDD4E74BDEEAE2962BC82D1ECB9F39855
  • QuoVadis // QuoVadisClientECCP384RootG4 // D3C07AC44BD8FF1975BC62F1C7E9840EA8E188A4BA51133B8C4EFF05E34A2729
  • Google Trust Services // GTSR2 // D947432ABDE7B7FA90FC2E6B59101B1280E0E1C7E4E40FA3C6887FFF57A7F4CF
  • Google Trust Services // GTSR3 // 34D8A73EE208D9BCDB0D956520934B4E40E69482596E8B6F73C8426B010A6F48
  • Google Trust Services // GTSR4 // 349DFA4058C5E263123B398AE795573C4E1313C83FE68F93556CD5E8031B3C7D
  • Google Trust Services // GTSR1 // D947432ABDE7B7FA90FC2E6B59101B1280E0E1C7E4E40FA3C6887FFF57A7F4CF
  • Google Trust Services // GSR4 // B085D70B964F191A73E4AF0D54AE7A0E07AAFDAF9B71DD0862138AB7325A24A2
  • Sectigo // Sectigo Public Code Signing Root R46 // 7E76260AE69A55D3F060B0FD18B2A8C01443C87B60791030C9FA0B0585101A38
  • Sectigo // Sectigo Public Code Signing Root E46 // 8F6371D8CC5AA7CA149667A98B5496398951E4319F7AFBCC6A660D673E438D0B

In deze release worden de volgende roots gewijzigd (CA \ Basiscertificaat \ SHA-1 Vingerafdruk):

  • QuoVadis // QuoVadisSMIMEECCP384RootG4 // 83FDDB2FD9DAE3B21EEBD33CF46251D746F0D6102B683150DD7B98AD8E4BB9F8
  • QuoVadis //QuoVadisSMIMERSA4096RootG4 // 5232A304AA4A10CFE6C47842EA3381CB31D619E24F58126D534CD50C5CE7845D

CtLM-beleid (Certificate Transparency Log Monitor)
Het CTLM-beleid (Certificate Transparency Log Monitor) is nu opgenomen in de maandelijkse Windows CTL. Dit is een lijst met openbaar vertrouwde logboekregistratieservers voor het valideren van certificaattransparantie in Windows. De lijst met logboekregistratieservers wordt naar verwachting in de loop van de tijd gewijzigd wanneer ze buiten gebruik worden gesteld of vervangen. Deze lijst weerspiegelt de CT-logboekregistratieservers die Microsoft vertrouwt. In de komende Windows-release kunnen gebruikers zich aanmelden voor validatie van certificaattransparantie, waarmee wordt gecontroleerd op de aanwezigheid van twee ondertekende certificaattijdenstempels (SCT's) van verschillende logboekservers in de CTLM. Deze functionaliteit wordt momenteel getest met gebeurtenislogboekregistratie om ervoor te zorgen dat deze betrouwbaar is voordat afzonderlijke toepassingen zich kunnen aanmelden voor afdwinging.

Notitie

  • Als onderdeel van deze release heeft Microsoft ook het niet-vertrouwde CTL-tijdstempel en het volgnummer bijgewerkt. Er zijn geen wijzigingen aangebracht in de inhoud van de niet-vertrouwde CTL, maar dit zorgt ervoor dat uw systeem de niet-vertrouwde CTL downloadt/vernieuwt. Dit is een normale update die soms wordt uitgevoerd wanneer de vertrouwde basis-CTL wordt bijgewerkt.
  • Het updatepakket is beschikbaar voor downloaden en testen op: https://aka.ms/CTLDownload
  • Handtekeningen op de certificaatvertrouwenslijsten (CCL's) voor het Vertrouwde basisprogramma van Microsoft zijn gewijzigd van alleen SHA-1/SHA-2 (dual-signed) in SHA-2. Er is geen actie van de klant vereist. Ga voor meer informatie naar: https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus