Sunset untuk penandatanganan Protokol Standar Sertifikat Online SHA-1
Penting
Artikel ini diterbitkan bersamaan dengan perubahan yang dijelaskan, dan tidak sedang diperbarui. Untuk informasi terbaru tentang CA, lihat Detail Otoritas Sertifikat Azure.
Microsoft memperbarui layanan Online Certificate Standard Protocol (OCSP) untuk mematuhi perubahan terbaru pada Persyaratan Dasar Certificate Authority / Browser Forum (CA / B Forum ). Perubahan ini mengharuskan semua Infrastruktur Kunci Umum (PPI) yang dipercaya publik mengakhiri penggunaan algoritme hash SHA-1 untuk respons OCSP pada 31 Mei 2022.
Microsoft memanfaatkan sertifikat dari beberapa PPI untuk mengamankan layanannya. Banyak dari sertifikat tersebut sudah menggunakan respons OCSP yang menggunakan algoritma hash SHA-256. Perubahan ini membawa semua TERSISA PKIs yang digunakan oleh Microsoft agar sesuai dengan persyaratan baru ini.
Kapan perubahan ini akan terjadi?
Mulai 28 Maret 2022, Microsoft akan mulai memperbarui OCSP Responders yang tersisa yang menggunakan algoritma hash SHA-1 untuk menggunakan algoritme hash SHA-256. Pada 30 Mei 2022, semua tanggapan OCSP untuk sertifikat yang digunakan oleh layanan Microsoft akan menggunakan algoritme hash SHA-256.
Apa cakupan masalahnya?
Perubahan ini berdampak pada pencabutan berbasis OCSP untuk MRI yang dioperasikan Microsoft yang menggunakan algoritma hashing SHA-1. Semua respons OCSP akan menggunakan algoritme hashing SHA-256. Perubahan hanya berdampak pada respons OCSP, bukan sertifikat itu sendiri.
Mengapa perubahan ini terjadi?
Otoritas Sertifikat / Forum Browser (Forum CA / B) membuat persyaratan ini dari ukuran pemungutan suara SC53. Microsoft memperbarui konfigurasinya agar tetap sesuai dengan Persyaratan Dasar yang diperbarui.
Apakah perubahan ini memengaruhi saya?
Sebagian besar pelanggan tidak akan terpengaruh. Namun, beberapa konfigurasi klien lama yang tidak mendukung SHA-256 dapat mengalami kesalahan validasi sertifikat.
Setelah 31 Mei 2022, klien yang tidak mendukung hash SHA-256 tidak akan dapat memvalidasi status pencabutan sertifikat, yang dapat mengakibatkan kegagalan pada klien, tergantung pada konfigurasinya.
Jika Anda tidak dapat memperbarui klien lama Anda ke klien yang mendukung SHA-256, Anda dapat menonaktifkan pemeriksaan pencabutan untuk melewati OCSP sampai Anda memperbarui klien Anda. Jika tumpukan Transport Layer Security (TLS) Anda lebih tua dari 2015, Anda harus meninjau konfigurasi Anda untuk kemungkinan ketidakcocokan.
Langkah berikutnya
Jika ada pertanyaan lain, hubungi kami melalui dukungan.