Dlouho jsme věděli, že Microsoft plánoval blokování certifikátů TLS podepsaných SHA-1, ale společnost nedávno sdílela další podrobnosti. Microsoft Edge i Internet explorer začnou od února 2017 zřejmě blokovat certifikáty TLS podepsané SHA-1.
Když se objeví výroční aktualizace, Microsoft Edge a Internet Explorer již nebudou považovat webové stránky chráněné pomocí SHA-1 za zabezpečené. Ikona zámku v adresním řádku bude označena, aby to bylo zřejmé, takže každý web s TLS podepsaným SHA-1 bude muset provést některé důležité změny, než Microsoft uvede tuto novou aktualizaci.
Tato aktualizace bude doručena do Microsoft Edge pro Windows 10 a Internet Explorer 11 ve Windows 7, Windows 8.1 a Windows 10 a bude mít dopad pouze na certifikáty, které se řetězí na CA v programu Microsoft Trusted Root Certificate. Microsoft Edge i Internet Explorer 11 poskytnou další podrobnosti v konzole F12 Developer Tools, aby pomohly správcům a vývojářům webů, podle společnosti Microsoft.
Vývojáři budou chtít vědět, jak otestovat blokování jejich certifikátů TLS podepsaných SHA-1. Následující informace zaznamená vaše certifikáty SHA1, takže neočekávejte, že budou vaše certifikáty blokovány.
Nejprve vytvořte adresář pro protokolování a udělejte univerzální přístup:
nastavit LogDir = C: \ Log mkdir% LogDir% icacls% LogDir% / grant * S-1-15-2-1: (OI) (CI) (F) icacls% LogDir% / grant * S-1-1- 0: (OI) (CI) (F) icacls% LogDir% / grant * S-1-5-12: (OI) (CI) (F) icacls% LogDir% / setintegritylevel L
Povolit protokolování certifikátů
Řetězec Certutil-setreg \ WeakSignatureLogDir% LogDir% Řetězec Certutil -setreg \ WeakSha1ThirdPartyFlags 0x80900008
Po dokončení testování odeberte nastavení pomocí následujícího příkazu.
Řetězec Certutil -delreg \ WeakSha1ThirdPartyFlags
Řetězec Certutil -delreg \ WeakSignatureLogDir
Microsoft má celou webovou stránku, která vysvětluje potřebu tohoto pohybu mimo jiné zaměřeného na dav vývojářů.