Поделиться через

Завершение использования подписи SHA-1 OCSP

  • Статья

Важно!

Эта статья была опубликована одновременно с описанным изменением и не обновляется. Актуальные сведения о центрах сертификации см. в разделе Сведения о центрах сертификации Azure.

Корпорация Майкрософт обновляет службу OCSP, чтобы соответствовать недавним изменениям базовых требований Форума CA/B (центров сертификации и браузеров). Для этого изменения необходимо не позднее 31 мая 2022 года прекратить использование всех общедоступных инфраструктур открытых ключей (PKI), которые используются в качестве алгоритмов хэширования SHA-1 в ответах службы OCSP.

Корпорация Майкрософт использует сертификаты нескольких PKI для защиты своих служб. Многие из этих сертификатов уже используют ответы OCSP с хэш-алгоритмом SHA-256. Это изменение приводит в соответствие новым требованием все остальные PKI, используемые корпорацией Майкрософт.

Когда будет применено это изменение?

Начиная с 28 марта 2022 г. корпорация Майкрософт начнет обновление тех респондентов OCSP, которые до сих пор использую хэш-алгоритм SHA-1, для использования хэш-алгоритма SHA-256. До 30 мая 2022 г. все ответы службы OCSP для сертификатов, используемых всеми службами Майкрософт, будут использовать хэш-алгоритм SHA-256.

Какая область затрагивается изменением?

Это изменение отзывает все PKI, управляемые корпорацией Майкрософт, которые использовали OCSP на основе хэш-алгоритма SHA-1. Теперь все ответы OCSP будут использовать хэш-алгоритм SHA-256. Изменение влияет только на ответы OCSP, но не на сами сертификаты.

Почему происходит это изменение?

Форум CA/B (центров сертификации и браузеров) создал это требование на основе бюллетеня SC53. Корпорация Майкрософт обновляет используемую конфигурацию, чтобы соответствовать обновленным базовым требованиям.

Повлияет ли это изменение на работу?

Большинство клиентов не будут затронуты. Но в некоторых старых конфигурациях с клиентами, не поддерживающими SHA-256, может возникнуть ошибка проверки сертификата.

После 31 мая 2022 г. клиенты, которые не поддерживают хэши SHA-256, не смогут проверить состояние отзыва сертификата, что может привести к сбою в клиенте (в зависимости от конфигурации).

Если вы не можете обновить устаревший клиент до версии, поддерживающей SHA-256, временно отключите проверку отзыва, чтобы не использовать службу OCSP до обновления клиента. Если ваш стек TLS старше версии 2015, следует проверить конфигурацию на наличие потенциальных несовместимостей.

Дальнейшие действия

Если у вас есть вопросы, свяжитесь с нашей службой поддержки.