2024 年 3 月部署通知 - Microsoft 受信任根证书计划

2023 年 3 月 26 日，星期二，Microsoft 发布了对 Microsoft 受信任根证书计划的更新。

此版本将添加以下根（CA \ 根证书 \ SHA-1 指纹）：

1. Secom // SECOM RSA Root CA 2023 // 4E004413485C145D9FDE64ADB16756E8F26AAC8A
2. Secom // SECOM Document Signing RSA Root CA 2023 // FDD93B294972BA743A0C2E6ABCFA10050652A047
3. Microsec // E-Szigno TLS Root CA 2023 // 6F9AD5D5DFE82CEBBE3707EE4F4F52582941D1FE
4. Buypass // Buypass Class 3 Root CA G2 HT // 2F7F1FC907B84E71EACC5695E186A144136E595A
5. QuoVadis, DigiCert // QuoVadis Client RSA 4096 Root G4 // 1068BFBEA253BAE0E6E03F34E8C2F1CE2D764B57
6. QuoVadis, DigiCert // QuoVadis SMIME ECC P384 Root G4 // 5B27E1E3C91FD30E6E6EE66EDFED12F5BCDF9236
7. QuoVadis, DigiCert // QuoVadis SMIME RSA 4096 Root G4 // C9B8DBF79C9A3D54B7E46EE63D72F9435E32BFA6
8. QuoVadis, DigiCert // QuoVadis TLS ECC P384 Root G4 // B6BF372A3689B35699F09913DA011D73A6E10FCE
9. QuoVadis, DigiCert // QuoVadis TLS RSA 4096 Root G4 // 20AFEA8DCB031F0684DF8FFD2598C8B7967FCD3C
10. CCA India // CCA India 2022 SPL // 9152D077FEF058914009BB4C0E42A710A38238AF

证书透明度日志监视器 (CTLM) 策略
证书透明度日志监视器 (CTLM) 策略现在包含在每月的 Windows CTL 中。 它是公开信任的日志记录服务器列表，适用于验证 Windows 上的证书透明度。 日志记录服务器列表预计因停用或替换将会随时间推移而更改，此列表反映了 Microsoft 信任的 CT 日志记录服务器。 在即将退出的 Windows 版本中，用户可以选择进行证书透明度验证，这将检查 CTLM 中不同日志记录服务器是否存在两个已签名证书时间戳 (SCT)。 此功能目前正在使用事件日志记录进行测试，以确保在单个应用程序可以选择强制实施之前该功能的可靠性。

注意

• 在此版本中，Microsoft 还更新了不受信任的 CTL 时间戳和序列号。 此发布未对不受信任的 CTL 内容做出任何更改，但这将会导致系统下载/刷新不受信任的 CTL。 这是一次正常更新，有时会在更新受信任的根 CTL 期间完成。
• 可从以下网址下载并测试更新包：https://aka.ms/CTLDownload
• 对于 Microsoft 受信任根证书计划，证书信任列表 (CTL) 的签名已从双重签名 (SHA-1/SHA-2) 更改为仅 SHA-2。 客户无需执行任何操作。 有关详细信息，请访问：https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus