Změny v kořenových certifikátech Windows (Windows Root Certificate Program)

(27. 6. 2014) Microsoft zveřejnil aktualizované požadavky Windows Root Certificate Program 2.0. Ten nahrazuje předchozí verzi 1.1 a směřuje k vyšší bezpečnosti certifikátů a digitálních podpisů.

Windows Root Certificate Program

V tomto seznamu jsou obsaženy všechny kořenové certifikační autority, které jsou důvěryhodné v systému Windows. Jedná se tedy o nejdůležitější seznam certifikačních autorit vůbec, který používá i většina programů na Windows. Intermediate certifikáty v seznamu distribuovány nejsou.

Jaké změny aktualizace 2.0 obsahuje?

Konec 1024b Root certifikátů

Zejména je ukončena podpora kořenových (Root) certifikátů s 1024b klíčem.

Konec podpory SHA-1

Microsoft potvrzuje své dříve zveřejněné záměry a ukončuje podporu SHA-1 ve svých produktech a i v seznamu Root certifikátů. V aktualizovaných požadavcích je uveden i plán opatření směřujících k ukončení podpory:

  1. CA musí přestat vydávat nové SHA-1 SSL a Code Signing certifikáty po 1. lednu 2016.
  2. SSL certifikáty s SHA-1 přestanou Windows akceptovat po 1. lednu 2017. To znamená, že každý SSL certifikát vydaný po tomto datu musí být vystaven s použitím SHA-2 (nebo ekvivalentu), a stávající musí být vydány znovu (reissue) s použitím SHA-2.
  3. U Code signing certifikátů přestane Windows akceptovat kód podepsaný SHA-1 certifikátem a SHA-1 Code Signing certifikáty po 1. lednu 2016. Časové známky s použitím SHA-1 (podle RFC 3161) vydané před 1.1.2016 budou nadále uznávány do odvolání.
  4. Program nebude dále distribuovat nové kořenové certifikáty pro podpis kódu podporující SHA-1 nebo RSA 2048. Nové kořenové certifikáty pro podpis kódu musí podporovat SHA-2 a RSA 4096.

Nepodporované algoritmy

V seznamu nepodporovaných algoritmů jsou aktuálně tyto: MD2, MD4, MD5, RSA s klíčem menším než 1024 bitů, RSA s klíčem 1024 bitů.

Microsoft ukončí distribuci 1024b kořenových certifikátů v roce 2014.

Jak se na změnu připravit?

Před ukončením podpory SHA-1 v certifikátech stačí svůj certifikát nechat znovu vystavit s použitím silnějšího SHA-2. Zákazníci SSLmarketu mohou certifikát nechat znovu vystavit (přegenerování) certifikátu provést přímo na svém zákaznickém účtu.

Certifikáty s délkou klíče 1024 bitů se už nevystavují a neměly by ani existovat. Autority rovněž nevystavují žádné certifikáty s kořenovými 1024b certifikáty.

Seznam certifikačních autorit je aktualizován přímo výrobcem operačního systému, uživatel se o jeho aktuálnost nemusí starat.

Archiv novinek