Partilhar via


Alterações no certificado TLS do Azure

Importante

Este artigo foi publicado simultaneamente com a alteração do certificado TLS e não está sendo atualizado. Para obter informações atualizadas sobre CAs, consulte Detalhes da Autoridade de Certificação do Azure.

A Microsoft usa certificados TLS do conjunto de Autoridades de Certificação (CAs) Raiz que aderem aos Requisitos de Linha de Base do Fórum de CA/Navegador. Todos os pontos de extremidade TLS/SSL do Azure contêm certificados encadeados até as CAs raiz fornecidas neste artigo. As alterações nos pontos de extremidade do Azure começaram a ser feitas em agosto de 2020, com alguns serviços concluindo suas atualizações em 2022. Todos os pontos de extremidade TLS/SSL do Azure recém-criados contêm certificados atualizados encadeados até as novas CAs raiz.

Todos os serviços do Azure são afetados por essa alteração. Os detalhes de alguns serviços estão listados abaixo:

O que mudou?

Antes da alteração, a maioria dos certificados TLS usados pelos serviços do Azure estava encadeada até a seguinte CA raiz:

Nome comum da AC Impressão digital (SHA1)
Baltimore CyberTrust Raiz d4de20d05e66fc53fe1a50882c78db2852cae474

Após a alteração, os certificados TLS usados pelos serviços do Azure serão encadeados até uma das seguintes CAs raiz:

Nome comum da AC Impressão digital (SHA1)
DigiCert Raiz Global G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DigiCert Global Root CA a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Raiz d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST Raiz Classe 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Autoridade de certificação raiz Microsoft RSA 2017 73a5e64a3bff8316ff0edccc618a906e4eae4d74
Autoridade de certificação raiz Microsoft ECC 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

A minha candidatura foi afetada?

Se seu aplicativo especificar explicitamente uma lista de autoridades de certificação aceitáveis, seu aplicativo provavelmente foi afetado. Essa prática é conhecida como fixação de certificado. Consulte o artigo da Microsoft Tech Community sobre as alterações do TLS do Armazenamento do Azure para obter mais informações sobre como determinar se seus serviços foram afetados e as próximas etapas.

Aqui estão algumas maneiras de detetar se seu aplicativo foi afetado:

  • Pesquise o código-fonte para obter a impressão digital, o Nome Comum e outras propriedades de certificado de qualquer uma das CAs TLS de TI da Microsoft no repositório PKI da Microsoft. Se houver uma correspondência, seu aplicativo será afetado. Para resolver esse problema, atualize o código-fonte incluir as novas autoridades de certificação. Como prática recomendada, certifique-se de que as autoridades de certificação possam ser adicionadas ou editadas em curto prazo. As regulamentações do setor exigem que os certificados de CA sejam substituídos dentro de sete dias após a alteração e, portanto, os clientes que dependem da fixação precisam reagir rapidamente.

  • Se você tiver um aplicativo que se integra às APIs do Azure ou a outros serviços do Azure e não tiver certeza se ele usa a fixação de certificado, verifique com o fornecedor do aplicativo.

  • Diferentes sistemas operacionais e tempos de execução de linguagem que se comunicam com os serviços do Azure podem exigir mais etapas para criar corretamente a cadeia de certificados com essas novas raízes:

    • Linux: Muitas distribuições exigem que você adicione CAs ao /etc/ssl/certs. Para obter instruções específicas, consulte a documentação da distribuição.
    • Java: Certifique-se de que o armazenamento de chaves Java contém as CAs listadas acima.
    • Windows em execução em ambientes desconectados: os sistemas executados em ambientes desconectados precisarão ter as novas raízes adicionadas ao armazenamento de Autoridades de Certificação Raiz Confiáveis e as intermediárias adicionadas ao armazenamento de Autoridades de Certificação Intermediárias.
    • Android: Verifique a documentação do seu dispositivo e a versão do Android.
    • Outros dispositivos de hardware, especialmente IoT: entre em contato com o fabricante do dispositivo.
  • Se você tiver um ambiente em que as regras de firewall estejam definidas para permitir chamadas de saída apenas para locais específicos de download da Lista de Revogação de Certificados (CRL) e/ou OCSP (Online Certificate Status Protocol), será necessário permitir as seguintes URLs de CRL e OCSP. Para obter uma lista completa das URLs de CRL e OCSP usadas no Azure, consulte o artigo de detalhes da CA do Azure.

    • http://crl3.digicert.com
    • http://crl4.digicert.com
    • http://ocsp.digicert.com
    • http://crl.microsoft.com
    • http://oneocsp.microsoft.com
    • http://ocsp.msocsp.com

Próximos passos

Se tiver dúvidas, contacte-nos através do suporte.