Alterações no certificado TLS do Azure
Importante
Este artigo foi publicado simultaneamente com a alteração do certificado TLS e não está sendo atualizado. Para obter informações atualizadas sobre CAs, consulte Detalhes da Autoridade de Certificação do Azure.
A Microsoft usa certificados TLS do conjunto de Autoridades de Certificação (CAs) Raiz que aderem aos Requisitos de Linha de Base do Fórum de CA/Navegador. Todos os pontos de extremidade TLS/SSL do Azure contêm certificados encadeados até as CAs raiz fornecidas neste artigo. As alterações nos pontos de extremidade do Azure começaram a ser feitas em agosto de 2020, com alguns serviços concluindo suas atualizações em 2022. Todos os pontos de extremidade TLS/SSL do Azure recém-criados contêm certificados atualizados encadeados até as novas CAs raiz.
Todos os serviços do Azure são afetados por essa alteração. Os detalhes de alguns serviços estão listados abaixo:
- Os serviços Microsoft Entra ID (Microsoft Entra ID) iniciaram essa transição em 7 de julho de 2020.
- Para obter as informações mais atualizadas sobre as alterações de certificado TLS para serviços do Azure IoT, consulte esta postagem do blog do Azure IoT.
- O Hub IoT do Azure iniciou essa transição em fevereiro de 2023, com conclusão prevista para outubro de 2023.
- O Azure IoT Central iniciará essa transição em julho de 2023.
- O Serviço de Provisionamento de Dispositivo do Hub IoT do Azure iniciará essa transição em janeiro de 2024.
- O Azure Cosmos DB iniciou essa transição em julho de 2022 com conclusão prevista para outubro de 2022.
- Detalhes sobre as alterações de certificado TLS do Armazenamento do Azure podem ser encontrados nesta postagem do blog do Armazenamento do Azure.
- O Cache do Azure para Redis está se afastando dos certificados TLS emitidos pelo Baltimore CyberTrust Root a partir de maio de 2022, conforme descrito neste artigo do Cache do Azure para Redis
- O Serviço de Metadados de Instância do Azure tem uma conclusão prevista para maio de 2022, conforme descrito nesta postagem do blog Governança e Gerenciamento do Azure.
O que mudou?
Antes da alteração, a maioria dos certificados TLS usados pelos serviços do Azure estava encadeada até a seguinte CA raiz:
| Nome comum da AC | Impressão digital (SHA1) |
|---|---|
| Baltimore CyberTrust Raiz | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Após a alteração, os certificados TLS usados pelos serviços do Azure serão encadeados até uma das seguintes CAs raiz:
| Nome comum da AC | Impressão digital (SHA1) |
|---|---|
| DigiCert Raiz Global G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DigiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Raiz | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Raiz Classe 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Autoridade de certificação raiz Microsoft RSA 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Autoridade de certificação raiz Microsoft ECC 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
A minha candidatura foi afetada?
Se seu aplicativo especificar explicitamente uma lista de autoridades de certificação aceitáveis, seu aplicativo provavelmente foi afetado. Essa prática é conhecida como fixação de certificado. Consulte o artigo da Microsoft Tech Community sobre as alterações do TLS do Armazenamento do Azure para obter mais informações sobre como determinar se seus serviços foram afetados e as próximas etapas.
Aqui estão algumas maneiras de detetar se seu aplicativo foi afetado:
Pesquise o código-fonte para obter a impressão digital, o Nome Comum e outras propriedades de certificado de qualquer uma das CAs TLS de TI da Microsoft no repositório PKI da Microsoft. Se houver uma correspondência, seu aplicativo será afetado. Para resolver esse problema, atualize o código-fonte incluir as novas autoridades de certificação. Como prática recomendada, certifique-se de que as autoridades de certificação possam ser adicionadas ou editadas em curto prazo. As regulamentações do setor exigem que os certificados de CA sejam substituídos dentro de sete dias após a alteração e, portanto, os clientes que dependem da fixação precisam reagir rapidamente.
Se você tiver um aplicativo que se integra às APIs do Azure ou a outros serviços do Azure e não tiver certeza se ele usa a fixação de certificado, verifique com o fornecedor do aplicativo.
Diferentes sistemas operacionais e tempos de execução de linguagem que se comunicam com os serviços do Azure podem exigir mais etapas para criar corretamente a cadeia de certificados com essas novas raízes:
- Linux: Muitas distribuições exigem que você adicione CAs ao /etc/ssl/certs. Para obter instruções específicas, consulte a documentação da distribuição.
- Java: Certifique-se de que o armazenamento de chaves Java contém as CAs listadas acima.
- Windows em execução em ambientes desconectados: os sistemas executados em ambientes desconectados precisarão ter as novas raízes adicionadas ao armazenamento de Autoridades de Certificação Raiz Confiáveis e as intermediárias adicionadas ao armazenamento de Autoridades de Certificação Intermediárias.
- Android: Verifique a documentação do seu dispositivo e a versão do Android.
- Outros dispositivos de hardware, especialmente IoT: entre em contato com o fabricante do dispositivo.
Se você tiver um ambiente em que as regras de firewall estejam definidas para permitir chamadas de saída apenas para locais específicos de download da Lista de Revogação de Certificados (CRL) e/ou OCSP (Online Certificate Status Protocol), será necessário permitir as seguintes URLs de CRL e OCSP. Para obter uma lista completa das URLs de CRL e OCSP usadas no Azure, consulte o artigo de detalhes da CA do Azure.
- http://crl3.digicert.com
- http://crl4.digicert.com
- http://ocsp.digicert.com
- http://crl.microsoft.com
- http://oneocsp.microsoft.com
- http://ocsp.msocsp.com
Próximos passos
Se tiver dúvidas, contacte-nos através do suporte.