Sappiamo da tempo che Microsoft stava pianificando di bloccare i certificati TLS firmati SHA-1, ma di recente la società ha condiviso maggiori dettagli sulla questione. Apparentemente, sia Microsoft Edge che Internet Explorer bloccheranno entrambi i certificati TLS firmati SHA-1 a partire da febbraio 2017.
Quando viene rilasciato l'Aggiornamento dell'anniversario, Microsoft Edge e Internet Explorer non considereranno più sicure le pagine Web protette con SHA-1. L'icona del lucchetto nella barra degli indirizzi verrà rimossa per indicarlo, quindi qualsiasi sito Web con TLS firmato SHA-1 dovrà apportare alcune modifiche importanti prima che Microsoft distribuisca questo nuovo aggiornamento.
Questo aggiornamento verrà fornito a Microsoft Edge su Windows 10 e Internet Explorer 11 su Windows 7, Windows 8.1 e Windows 10 e avrà effetto solo sui certificati collegati a una CA nel programma Microsoft Trusted Root Certificate. Sia Microsoft Edge che Internet Explorer 11 forniranno ulteriori dettagli nella console F12 Developer Tools per assistere gli amministratori e gli sviluppatori del sito, secondo Microsoft.
Gli sviluppatori vorranno sapere come testare il blocco dei loro certificati TLS firmati SHA-1. Le seguenti informazioni registreranno i tuoi certificati SHA1, quindi non aspettarti che i tuoi certificati vengano bloccati.
Prima crea una directory di registrazione e concedi l'accesso universale:
set LogDir = C: \ Log mkdir% LogDir% icacls% LogDir% / grant * S-1-15-2-1: (OI) (CI) (F) icacls% LogDir% / grant * S-1-1- 0: (OI) (CI) (F) icacls% LogDir% / grant * S-1-5-12: (OI) (CI) (F) icacls% LogDir% / setintegritylevel L
Abilita la registrazione dei certificati
Certutil -setreg chain \ WeakSignatureLogDir% LogDir% Certutil -setreg chain \ WeakSha1ThirdPartyFlags 0x80900008
Utilizzare il comando seguente per rimuovere le impostazioni dopo aver completato il test.
Certutil -delreg chain \ WeakSha1ThirdPartyFlags
Certutil -delreg chain \ WeakSignatureLogDir
Microsoft ha un'intera pagina web che spiega la necessità di questa mossa tra le altre cose rivolte al pubblico di sviluppatori.