Zmeny v koreňových certifikátoch Windows (Windows Root Certificate Program)

(27. 6. 2014) Microsoft zverejnil aktualizované požiadavky Windows Root Certificate Program 2.0. Ten nahradzuje predošlú verziu 1.1 a smeruje k vyššej bezpečnosti certifikátov a digitálnych podpisov.

Windows Root Certificate Program

V tomto zozname sú obsiahnuté všetky koreňové certifikačné autority, ktoré sú dôveryhodné v systéme Windows. Jedná sa teda o najdôležitejší zoznam certifikačných autorít vôbec, ktorý používa aj väčšina programov na Windows. Intermediate certifikáty v zozname distribuované nie sú.

Aké zmeny aktualizácia 2.0 obsahuje?

Koniec 1024b Root certifikátov

Najmä je ukončená podpora koreňových (Root) certifikátov s 1024b kľúčom.

Koniec podpory SHA-1

Microsoft potvrdzuje svoje skôr zverejnené zámery a ukončuje podporu SHA-1 v svojich produktoch a aj v zozname Root certifikátov. V aktualizovaných požiadavkách je uvedený aj plán opatrení, smerujúcich k ukončeniu podpory:

  1. CA musí prestať vydávať nové SHA-1 SSL a Code Signing certifikáty po 1. januári 2016.
  2. SSL certifikáty s SHA-1 prestanú Windows akceptovať po 1. januári 2017. To znamená, že každý SSL certifikát, vydaný po tomto dátume, musí byť vystavený s použitím SHA-2 (alebo ekvivalentu), a súčasné musia byť vydané znova (reissue) s použitím SHA-2.
  3. Pri Code signing certifikátoch prestane Windows akceptovať kód podpísaný SHA-1 certifikátom a SHA-1 Code Signing certifikátmi po 1. januári 2016. Časové známky s použitím SHA-1 (podľa RFC 3161), vydané pred 1.1.2016 budú naďalej uznávané do odvolania.
  4. Program nebude ďalej distribuovať nové koreňové certifikáty na podpis kódu, podporujúce SHA-1 alebo RSA 2048. Nové koreňové certifikáty na podpis kódu musia podporovať SHA-2 a RSA 4096.

Nepodporované algoritmy

V zozname nepodporovaných algoritmov sú aktuálne tieto: MD2, MD4, MD5, RSA s kľúčom menším než 1024 bitov, RSA s kľúčom 1024 bitov.

Microsoft ukončí distribúciu 1024b koreňových certifikátov v roku 2014.

Ako sa na zmenu pripraviť?

Pred ukončením podpory SHA-1 v certifikátoch stačí svoj certifikát nechať znova vystaviť s použitím silnějšieho SHA-2. Zákazníci SSLmarketu môžu certifikát nechať znova vystaviť (pregenerovanie) certifikátu priamo vo svojom zákazníckom účte.

Certifikáty s dĺžkou kľúča 1024 bitov sa už nevystavujú a nemali by ani existovať. Autority taktiež nevystavujú žiadne certifikáty s koreňovými 1024b certifikátmi.

Zoznam certifikačných autorít je aktualizovaný priamo výrobcom operačného systému, používateľ sa o jeho aktuálnosť nemusí starať.

Archív noviniek