Hace tiempo que sabíamos que Microsoft estaba planeando bloquear los certificados firmados TLS de SHA-1, pero recientemente, la empresa compartió más detalles sobre el tema. Aparentemente, tanto Microsoft Edge como Internet Explorer bloquearán los certificados de TLS firmados por SHA-1 a partir de febrero de 2017.
Cuando se publique la actualización del aniversario, Microsoft Edge e Internet Explorer ya no considerarán seguras las páginas web protegidas con SHA-1. El icono del candado en la barra de direcciones se eliminará para indicar esto, por lo que cualquier sitio web con SHA-1 firmado TLS tendrá que hacer algunos cambios importantes antes de que Microsoft implemente esta nueva actualización.
Esta actualización se entregará a Microsoft Edge en Windows 10 e Internet Explorer 11 en Windows 7, Windows 8.1 y Windows 10, y sólo afectará a los certificados que se encadenan a una CA en el programa Microsoft Trusted Root Certificate. Tanto Microsoft Edge como Internet Explorer 11 proporcionarán detalles adicionales en la consola F12 Developer Tools para ayudar a los administradores y desarrolladores del sitio, según Microsoft .
Los desarrolladores querrán saber cómo probar el bloque de sus certificados TLS firmados SHA-1. La siguiente información registrará sus certificados SHA1, así que no espere que sus certificados sean bloqueados.
Primero cree un directorio de registro y conceda acceso universal:
set LogDir=C:\Log
mkdir %LogDir%LogDir
icacls %LogDir% / subvención *S-1-15-2-1:(OI)(CI)(F)
icacls %LogDir% / subvención *S-1-1-0:(OI)(CI)(F)
icacls %LogDir% /beca *S-1-5-12:(OI)(CI)(F)
icacls %LogDir% /setintegritylevel L
Activar el registro del certificado
Certutil -setreg chain\WeakSignatureLogDir %LogDir%LogDir
Certutil -setreg chain\WeakSha1ThirdPartyFlags 0x80900008
Utilice el siguiente comando para eliminar la configuración después de haber completado la prueba.
Certutil -delreg chain\WeakSignatureLogDir
Microsoft tiene una página web completa que explica la necesidad de esta medida, entre otras cosas, dirigida a los desarrolladores.