Nous savons depuis longtemps que Microsoft prévoyait de bloquer les certificats TLS signés SHA-1, mais récemment, la société a partagé plus de détails à ce sujet. Apparemment, Microsoft Edge et Internet Explorer bloqueront tous deux les certificats TLS signés SHA-1 à partir de février 2017..
Lorsque la mise à jour anniversaire sera déployée, Microsoft Edge et Internet Explorer ne considéreront plus les pages Web protégées avec SHA-1 comme sécurisées. L'icône de verrouillage dans la barre d'adresse sera supprimée pour l'indiquer, donc tout site Web avec SHA-1 signé TLS devra apporter des modifications importantes avant que Microsoft ne déploie cette nouvelle mise à jour..
Cette mise à jour sera fournie à Microsoft Edge sur Windows 10 et Internet Explorer 11 sur Windows 7, Windows 8.1 et Windows 10, et n'affectera que les certificats qui se connectent à une autorité de certification dans le programme Microsoft Trusted Root Certificate. Microsoft Edge et Internet Explorer 11 fourniront des détails supplémentaires dans la console F12 Developer Tools pour aider les administrateurs de site et les développeurs, selon Microsoft.
Les développeurs voudront savoir comment tester le blocage de leurs certificats TLS signés SHA-1. Les informations suivantes consigneront vos certificats SHA1, alors ne vous attendez pas à ce que vos certificats soient bloqués.
Créez d'abord un répertoire de journalisation et accordez un accès universel:
set LogDir = C: \ Log mkdir% LogDir% icacls% LogDir% / grant * S-1-15-2-1: (OI) (CI) (F) icacls% LogDir% / grant * S-1-1- 0: (OI) (CI) (F) icacls% LogDir% / grant * S-1-5-12: (OI) (CI) (F) icacls% LogDir% / setintegritylevel L
Activer la journalisation des certificats
Certutil -setreg chain \ WeakSignatureLogDir% LogDir% Certutil -setreg chain \ WeakSha1ThirdPartyFlags 0x80900008
Utilisez la commande suivante pour supprimer les paramètres après avoir terminé vos tests.
Chaîne Certutil -delreg \ WeakSha1ThirdPartyFlags
Certutil -delreg chaîne \ WeakSignatureLogDir
Microsoft a une page Web entière expliquant la nécessité de ce déménagement, entre autres pour les développeurs.