SHA-1 Çevrimiçi Sertifika Standart Protokolü imzalama için gün batımı
Önemli
Bu makale açıklanan değişiklikle eşzamanlı olarak yayımlandı ve güncelleştirilmiyor. CA'lar hakkında güncel bilgiler için bkz. Azure Sertifika Yetkilisi ayrıntıları.
Microsoft, Sertifika Yetkilisi/ Tarayıcı Forumu (CA/B Forumu ) Temel Gereksinimleri'ne yapılan son değişikliklere uymak için Çevrimiçi Sertifika Standart Protokolü (OCSP) hizmetini güncelleştirmektedir. Bu değişiklik, OCSP yanıtları için SHA-1 karma algoritmalarının genel olarak güvenilen tüm Ortak Anahtar Altyapılarının (PKI) kullanımını 31 Mayıs 2022'ye kadar sona erdirmesini gerektirir.
Microsoft, hizmetlerinin güvenliğini sağlamak için birden çok PKI'nin sertifikalarından yararlanıyor. Bu sertifikaların çoğu zaten SHA-256 karma algoritmasını kullanan OCSP yanıtlarını kullanmaktadır. Bu değişiklik, Microsoft tarafından kullanılan kalan tüm PKI'leri bu yeni gereksinime uygun hale getirir.
Bu değişiklik ne zaman gerçekleşecek?
28 Mart 2022'den itibaren Microsoft, SHA-256 karma algoritmasını kullanmak için SHA-1 karma algoritmasını kullanan kalan OCSP Yanıtlayıcılarını güncelleştirmeye başlayacaktır. 30 Mayıs 2022'ye kadar, Microsoft hizmetleri tarafından kullanılan sertifikalar için tüm OCSP yanıtları SHA-256 karma algoritmasını kullanacaktır.
Değişikliğin kapsamı nedir?
Bu değişiklik, SHA-1 karma algoritmaları kullanan Microsoft tarafından çalıştırılan PKI'ler için OCSP tabanlı iptali etkiler. Tüm OCSP yanıtları SHA-256 karma algoritmasını kullanır. Değişiklik yalnızca OCSP yanıtlarını etkiler, sertifikaların kendisini etkilemez.
Bu değişiklik neden gerçekleşiyor?
Sertifika Yetkilisi / Tarayıcı Forumu (CA/B Forumu) bu gereksinimi oy pusulası ölçüsü SC53'ten oluşturmuştur. Microsoft, güncelleştirilmiş Temel Gereksinim'e uygun kalacak şekilde yapılandırmasını güncelleştiriyor.
Bu değişiklik beni etkileyecek mi?
Müşterilerin çoğu etkilenmez. Ancak, SHA-256'yı desteklemeyen bazı eski istemci yapılandırmalarında sertifika doğrulama hatasıyla karşılaşılabilir.
31 Mayıs 2022'de SHA-256 karmalarını desteklemeyen istemciler sertifikanın iptal durumunu doğrulayamaz ve bu da yapılandırmaya bağlı olarak istemcide hataya neden olabilir.
Eski istemcinizi SHA-256'yı destekleyen bir istemciye güncelleştiremiyorsanız, istemcinizi güncelleştirene kadar OCSP'yi atlamak için iptal denetimini devre dışı bırakabilirsiniz. Aktarım Katmanı Güvenliği (TLS) yığınınız 2015'ten eskiyse olası uyumsuzluklar için yapılandırmanızı gözden geçirmeniz gerekir.
Sonraki adımlar
Sorularınız varsa destek aracılığıyla bizimle iletişime geçin.