Sunset لتوقيع بروتوكول شهادة SHA-1 عبر الإنترنت

تقوم Microsoft بتحديث خدمة البروتوكول القياسي للشهادات عبر الإنترنت (OCSP) للتوافق للتغيير الأخير الذي تم إدخاله على المتطلبات الأساسية للمرجع المصدق / منتدى المستعرض (CA/B Forum). يتطلب هذا التغيير أن تنتهي جميع استخدامات نهاية البنية الأساسية للمفتاح العام (PKIs) الموثوق بها بشكل عام لخوارزميات التجزئة SHA-1 لاستجابات OCSP بحلول 31 مايو 2022.

تستفيد Microsoft من الشهادات من واجهات PKIs متعددة لتأمين خدماتها. تستخدم العديد من هذه الشهادات بالفعل استجابات OCSP التي تستخدم خوارزمية تجزئة SHA-256. يؤدي هذا التغيير إلى توافق جميع PKIs المتبقية التي تستخدمها Microsoft مع هذا المطلب الجديد.

متى سيحدث هذا التغيير؟

بدءاً من 28 مارس 2022، ستبدأ Microsoft في تحديث مستجيبي OCSP المتبقيين الذين يستخدمون خوارزمية تجزئة SHA-1 لاستخدام خوارزمية التجزئة SHA-256. بحلول 30 مايو 2022، ستستخدم جميع استجابات OCSP للشهادات المستخدمة من قبل خدمات Microsoft خوارزمية تجزئة SHA-256.

ما المقصود بنطاق التغيير؟

يؤثر هذا التغيير على الإبطال المستند إلى OCSP لـ PKIs التي تشغلها Microsoft والتي كانت تستخدم خوارزميات تجزئة SHA-1. ستستخدم جميع استجابات OCSP خوارزمية تجزئة SHA-256. يؤثر التغيير فقط على استجابات OCSP، وليس الشهادات نفسها.

لماذا يحدث هذا التغيير؟

أنشأت الهيئة المصدقة / منتدى المستعرض (منتدى CA/B) هذا المطلب من قياس الاقتراع SC53. تقوم Microsoft بتحديث تكوينها لتظل متوافقة مع متطلبات الأساس المحدثة.

هل سيؤثر هذا التغيير عليّ؟

لن تتأثر معظم العملاء. ومع ذلك، قد تواجه بعض تكوينات العميل القديمة التي لا تدعم SHA-256 خطأ في التحقق من صحة الشهادة.

بعد 31 مايو 2022، لن يتمكن العملاء الذين لا يدعمون تجزئات SHA-256 من التحقق من حالة إبطال الشهادة، مما قد يؤدي إلى فشل في العميل، اعتماداً على التكوين.

إذا لم تتمكن من تحديث عميلك القديم إلى عميل يدعم SHA-256، يمكنك تعطيل التحقق من الإبطال لتجاوز OCSP حتى تقوم بتحديث العميل. إذا كان مكدس بروتوكول أمان طبقة النقل (TLS) أقدم من 2015، يجب عليك مراجعة التكوين الخاص بك لمعرفة أوجه عدم التوافق المحتملة.

الخطوات التالية

إذا كانت لديك أسئلة، فاتصل بنا من خلال الدعم.