(Deprecation) Eliminação Gradual da Aplicação de certificados SHA1 do Windows

Tabela de conteúdos

 

Plano de SHA-1 da Microsoft

SHA-1 é um hash criptográfico de legado que muitos na comunidade de segurança acreditam que não é mais seguro. Usar o algoritmo de hash SHA-1 em certificados digitais poderia permitir que a um invasor falsificar o conteúdo, executar ataques de phishing ou executar ataques de man-in-the-middle. A Microsoft, em colaboração com outros membros da indústria, estão trabalhando para a eliminação gradual do protocolo de SHA-1 e para avisar os consumidores dos riscos possíveis, quando eles encontram em sites usando o protocolo SHA-1.

Em 2015, anunciamos planos para mudar a maneira em que os dispositivos e aplicativos Windows trata os certificados de SHA-1. Depois de amplas consultas com membros da indústria, nós estamos ajustando o nosso plano para alinhar melhor o risco com a experiência, que nós queremos que nossos clientes tenham.

Essas alterações ocorrerão em várias fases e se destinam  aos certificados em cadeia (chain certificates)  que são confiáveis como parte do programa Microsoft Trusted Root Program.

O plano tem três fases. Fases 1 e 2 estão centradas em torno de um cenário de navegador. A primeira fase é o que estamos fazendo hoje  com o  Microsoft Edge e Internet Explorer 11. A fase dois é o que faremos naqueles navegadores a partir de fevereiro de 2017. Fase três é o nosso plano para além de fevereiro de 2017.

Resumo

Hoje A partir de 14 de fevereiro de 2017
TLS Server-Authentication Certificates Nenhum ícone de cadeado Microsoft Edge e Internet Explorer 11 Certificado inválido
Code Signing Certificates Não afetado Não afetado
Timestamping Certificates Não afetado Não afetado
S/MIME Certificates Não afetado Não afetado
OCSP and CRL Signing Certificates Não afetado Não afetado
OCSP Signatures Não afetado Não afetado
OCSP Responses Não afetado Não afetado
CRL Signatures Não afetado Não afetado
Code Signature File Hashes Não afetado Não afetado
Timestamp Signature Hashes Não afetado Não afetado

 

Detalhes de aplicação

Hoje

A primeira fase do nosso plano é para indicar aos usuários que pesquisam em sites da protegidos por TLS que SHA-1 é menos seguro que SHA-2. Hoje, quando os clientes usam Microsoft Edge ou Internet Explorer 11 para navegar para um site TLS que usa um certificado de entidade final de SHA-1, os clientes vão notar que o navegador não exibe um ícone de cadeado.

Plano de Fevereiro de 2017

Em 14 de fevereiro de 2017, a Microsoft irá lançar uma atualização para Microsoft Edge e Internet Explorer 11 que irá exibir uma página de aviso de certificado inválido alertando os usuários que sua conexão não é segura. Apesar de não recomendarmos isso, os clientes têm a opção de continuar navegando no site.

cert

Fevereiro de 2017 experiência do usuário navegando em um site protegido com um certificado SHA-1

Planos após Fevereiro de 2017

Após fevereiro de 2017, temos a intenção de fazer mais para alertar os consumidores sobre o risco de fazer o download de software assinado usando um certificado de SHA-1. Nosso objetivo é desenvolver uma experiência comum, a nível de sistema operacional que todos os aplicativos possam  usar para avisar os usuários sobre a criptografia fraca como o SHA-1.

Perguntas Freqüentes

O que ocorre com os certificados auto-assinados de TLS?

Em fevereiro, de 2017, não haverá nenhum impacto para as raízes que não estão incluídos no programa de Microsoft Trusted Root Program, como por exemplos Enterprise ou raízes auto-assinadas que você escolheu para confiar.

O que ocorre com os certificados TLS de cross-chain ?

Um certificado cross-chain  assinado com Microsoft Trusted Root à sua própria raiz não será afetado em fevereiro de 2017.

Como posso determinar se meu ambiente será impactado pele desaprovação do TLS em fevereiro de 2017?

Você pode habilitar o log do uso dos certificados de SHA-1 para um diretório digitando os seguintes comandos em um Prompt de comando do administrador.

Primeiro crie um diretório de log e conceder acesso universal:

set LogDir=C:\Log

mkdir %LogDir%

icacls %LogDir% /grant *S-1-15-2-1:(OI)(CI)(F)

icacls %LogDir% /grant *S-1-1-0:(OI)(CI)(F)

icacls %LogDir% /grant *S-1-5-12:(OI)(CI)(F)

icacls %LogDir% /setintegritylevel L

 

Habilite o registro do certificado

Certutil -setreg chain\WeakSignatureLogDir %LogDir%

Certutil -setreg chain\WeakSha1ThirdPartyFlags 0x80900008

 

Original: https://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-sha1-certificates.aspx