Há muito tempo sabemos que a Microsoft estava planejando bloquear certificados TLS assinados SHA-1, mas recentemente, a empresa compartilhou mais detalhes sobre o assunto. Aparentemente, o Microsoft Edge e o Internet explorer bloquearão os certificados TLS assinados SHA-1 a partir de fevereiro de 2017.
Quando a Atualização de aniversário for lançada, o Microsoft Edge e o Internet Explorer não considerarão mais as páginas da web protegidas com SHA-1 como seguras. O ícone de cadeado na barra de endereço será removido para indicar isso, portanto, qualquer site com TLS assinado por SHA-1 terá que fazer algumas alterações importantes antes que a Microsoft lance esta nova atualização.
Esta atualização será entregue ao Microsoft Edge no Windows 10 e Internet Explorer 11 no Windows 7, Windows 8.1 e Windows 10, e afetará apenas os certificados que se conectam a uma CA no programa Microsoft Trusted Root Certificate. Tanto o Microsoft Edge quanto o Internet Explorer 11 fornecerão detalhes adicionais no console F12 Developer Tools para auxiliar os administradores e desenvolvedores do site, de acordo com a Microsoft.
Os desenvolvedores vão querer saber como testar o bloqueio de seus certificados TLS assinados SHA-1. As informações a seguir registrarão seus certificados SHA1, portanto, não espere que seus certificados sejam bloqueados.
Primeiro, crie um diretório de registro e conceda acesso universal:
set LogDir = C: \ Log mkdir% LogDir% icacls% LogDir% / grant * S-1-15-2-1: (OI) (CI) (F) icacls% LogDir% / grant * S-1-1- 0: (OI) (CI) (F) icacls% LogDir% / grant * S-1-5-12: (OI) (CI) (F) icacls% LogDir% / setintegritylevel L
Habilitar registro de certificado
Certutil -setreg chain \ WeakSignatureLogDir% LogDir% Certutil -setreg chain \ WeakSha1ThirdPartyFlags 0x80900008
Use o seguinte comando para remover as configurações depois de concluir seu teste.
Certutil -delreg chain \ WeakSha1ThirdPartyFlags
Certutil -delreg chain \ WeakSignatureLogDir
A Microsoft tem uma página inteira na web explicando a necessidade dessa mudança, entre outras coisas destinadas ao público de desenvolvedores.