SHA-1 联机证书标准协议签名即将停用

重要

本文已随所述更改同时发布,并未进行更新。 有关 CA 的最新信息,请参阅 Azure 证书颁发机构详细信息

Microsoft 将更新联机证书标准协议 (OCSP) 服务,以符合证书颁发机构/浏览器论坛(CA/B 论坛)基准要求最近做出的一项更改。 此更改要求所有公开信任的公钥基础结构 (PKI) 在 2022 年 5 月 31 日之前停止使用 SHA-1 哈希算法进行 OCSP 响应。

Microsoft 利用来自多个 PKI 的证书来保护其服务。 其中许多证书已经使用了 SHA-256 哈希算法进行 OCSP 响应。 此更改将使 Microsoft 使用的所有其余 PKI 都符合这项新要求。

此更改将在何时进行?

自 2022 年 3 月 28 日起,Microsoft 将开始更新其使用 SHA-1 哈希算法的其余 OCSP 响应方,改为使用 SHA-256 哈希算法。 截止到 2022 年 5 月 30 日,Microsoft 服务使用的证书的所有 OCSP 响应都将使用 SHA-256 哈希算法。

更改涉及的范围是什么?

此更改将影响使用 SHA-1 哈希算法的 Microsoft 运营的 PKI 的基于 OCSP 的吊销。 所有 OCSP 响应都将使用 SHA-256 哈希算法。 更改只会影响 OCSP 响应,而不会影响证书本身。

为什么要进行此更改?

证书颁发机构/浏览器论坛(CA/B 论坛)根据投票议案 SC53 制定了这项要求。 Microsoft 将更新其配置,使其与更新后的基准要求保持一致。

此更改将对我产生影响吗?

大多数客户不会受到影响。 但是,一些不支持 SHA-256 的旧客户端配置可能会遇到证书验证错误。

2022 年 5 月 31 日之后,不支持 SHA-256 哈希的客户端将无法验证证书的吊销状态,这可能会导致客户端出现故障,具体取决于配置。

如果你无法将旧版客户端更新为支持 SHA-256 的客户端,可以禁用吊销检查来绕过 OCSP,直到更新客户端。 如果你的传输层安全性 (TLS) 堆栈是 2015 年以前的,应检查配置中是否存在潜在的不兼容问题。

后续步骤

如果有任何问题,请通过客户支持联系我们。