We weten al lang dat Microsoft van plan was om SHA-1 ondertekende TLS-certificaten te blokkeren, maar onlangs heeft het bedrijf meer details over de kwestie gedeeld. Blijkbaar zullen zowel Microsoft Edge als Internet Explorer beide SHA-1 ondertekende TLS-certificaten vanaf februari 2017 blokkeren.
Wanneer de jubileumupdate uitkomt, beschouwen Microsoft Edge en Internet Explorer webpagina's die zijn beveiligd met SHA-1 niet langer als veilig. Het slotpictogram in de adresbalk wordt verwijderd om dit aan te geven, dus elke website met SHA-1-ondertekende TLS zal enkele belangrijke wijzigingen moeten aanbrengen voordat Microsoft deze nieuwe update uitrolt.
Deze update wordt geleverd aan Microsoft Edge op Windows 10 en Internet Explorer 11 op Windows 7, Windows 8.1 en Windows 10, en heeft alleen invloed op certificaten die zijn gekoppeld aan een CA in het Microsoft Trusted Root Certificate-programma. Zowel Microsoft Edge als Internet Explorer 11 bieden aanvullende details in de F12 Developer Tools-console om sitebeheerders en ontwikkelaars te helpen, aldus Microsoft.
Ontwikkelaars zullen willen weten hoe ze hun SHA-1-ondertekende TLS-certificaten kunnen testen. De volgende informatie registreert uw SHA1-certificaten, dus verwacht niet dat uw certificaten worden geblokkeerd.
Maak eerst een logboekregistratiemap en verleen universele toegang:
set LogDir = C: \ Log mkdir% LogDir% icacls% LogDir% / grant * S-1-15-2-1: (OI) (CI) (F) icacls% LogDir% / grant * S-1-1- 0: (OI) (BI) (F) icacls% LogDir% / subsidie * S-1-5-12: (OI) (CI) (F) icacls% LogDir% / setintegritylevel L
Schakel certificaatregistratie in
Certutil -setreg chain \ WeakSignatureLogDir% LogDir% Certutil -setreg chain \ WeakSha1ThirdPartyFlags 0x80900008
Gebruik de volgende opdracht om de instellingen te verwijderen nadat u klaar bent met testen.
Certutil -delreg keten \ WeakSha1ThirdPartyFlags
Certutil -delreg chain \ WeakSignatureLogDir
Microsoft heeft een hele webpagina waarin de noodzaak van deze stap wordt uitgelegd, onder andere gericht op het ontwikkelaarspubliek.