Alterações no certificado TLS do Azure
Importante
Este artigo foi publicado simultaneamente com a alteração do certificado TLS, e não será atualizado. Para obter informações atualizadas sobre as ACs, consulte os Detalhes da Autoridade de Certificação do Azure.
A Microsoft usa certificados TLS do conjunto de autoridades de certificação (ACs) raiz que seguem os requisitos de linha de base do fórum de navegador/CA. Todos os pontos de extremidade do TLS/SSL do Azure contêm o encadeamento de certificados até as ACs raiz fornecida neste artigo. As alterações nos pontos de extremidade do Azure começaram a fazer a transição em agosto de 2020, com alguns serviços concluindo suas atualizações em 2022. Todos os pontos de extremidade do TLS/SSL do Azure recém-criados contêm o encadeamento de certificados atualizados até as novas ACs raiz.
Todos os serviços do Azure são afetados por essa alteração. Os detalhes de alguns serviços estão listados abaixo:
- Os serviços da ID do Microsoft Entra (Microsoft Entra ID) iniciaram essa transição em 7 de julho de 2020.
- Para obter as informações mais atualizadas sobre as alterações de certificado TLS para serviços de Internet das Coisas do Azure, confira esta postagem no blog do Internet das Coisas do Azure.
- O Hub IoT do Azure iniciará essa transição em fevereiro de 2023, com a conclusão esperada para outubro de 2023.
- O Azure IoT Central iniciará essa transição em julho de 2023.
- O Serviço de Provisionamento de Dispositivos no Hub IoT iniciará essa transição em janeiro de 2024.
- O Azure Cosmos DB iniciará essa transição em julho de 2022, com a conclusão esperada para outubro de 2022.
- Detalhes sobre as alterações de certificado TLS do Armazenamento do Azure podem ser encontrados nesta postagem no blog do Armazenamento do Azure.
- O Cache do Azure para Redis desativará os certificados TLS emitidos pela raiz Baltimore CyberTrust Root a partir de maio de 2022, conforme descrito neste artigo do Cache do Azure para Redis
- O Serviço de Metadados de Instância do Azure tem uma conclusão esperada em maio de 2022, conforme descrito nesta postagem no blog de Governança e Gerenciamento do Azure.
O que mudou?
Antes da alteração, a maioria dos certificados TLS usados pelos serviços do Azure eram encadeados à seguinte AC raiz:
| Nome comum da AC | Impressão digital (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Após a alteração, os certificados TLS usados pelos serviços do Azure serão encadeados a uma das seguintes ACs raiz:
| Nome comum da AC | Impressão digital (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DigiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Meu aplicativo foi impactado?
Se o aplicativo especificar explicitamente uma lista de CAs aceitáveis, seu aplicativo provavelmente foi afetado. Essa prática é conhecida como anexação de certificado. Examine o artigo do Microsoft Tech Community sobre alterações de TLS do Armazenamento do Azure para obter mais informações sobre como determinar se seus serviços foram afetados e as próximas etapas.
Estas são algumas maneiras de detectar se o seu aplicativo foi afetado:
Pesquise o código-fonte para obter a impressão digital, o nome comum e outras propriedades de certificado de uma das ACs do TLS de TI da Microsoft encontradas no repositório de PKI da Microsoft. Se houver uma correspondência, seu aplicativo será afetado. Para resolver esse problema, atualize o código-fonte, incluindo as novas ACs. Como melhor prática, verifique se as ACs podem ser adicionadas ou editadas em curto prazo. Os regulamentos do setor exigem que os Certificados de AC sejam substituídos no prazo de até sete dias da alteração e, portanto, os clientes que dependem da anexação precisam tomar uma medida rapidamente.
Se você tiver um aplicativo que se integra às APIs do Azure ou a outros serviços do Azure e não tiver certeza se ele usa a anexação de certificado, verifique com o fornecedor do aplicativo.
Diferentes sistemas operacionais e runtimes de linguagem que se comunicam com os serviços do Azure podem exigir etapas adicionais para a criação correta da cadeia de certificados com estas novas raízes:
- Linux: muitas distribuições exigem a adição das ACs a /etc/ssl/certs. Para obter instruções específicas, veja a documentação da distribuição.
- Java: verifique se o repositório de chaves Java contém as ACs listadas acima.
- Windows em execução em ambientes desconectados: os sistemas em execução em ambientes desconectados precisarão ter raízes adicionadas ao repositório de Autoridades de Certificação Raiz Confiáveis e os intermediários adicionados ao repositório de Autoridades de Certificação Intermediárias.
- Android: verifique a documentação do dispositivo e a versão do Android.
- Outros dispositivos de hardware, especialmente IoT: entre em contato com o fabricante do dispositivo.
Se você tiver um ambiente em que as regras de firewall estão definidas para permitir chamadas de saída somente para localizações específicas de download da CRL (lista de certificados revogados) e/ou de verificação do protocolo OCSP (Protocolo de Status do Certificado Online), será necessário permitir as seguintes URLs de CRL e OCSP. Para obter uma lista completa de URLs de CRL e OCSP usadas no Azure, consulte o Artigo de detalhes da AC do Azure.
- http://crl3.digicert.com
- http://crl4.digicert.com
- http://ocsp.digicert.com
- http://crl.microsoft.com
- http://oneocsp.microsoft.com
- http://ocsp.msocsp.com
Próximas etapas
Caso tenha outras dúvidas, entre em contato conosco por meio do suporte.