Od dawna wiedzieliśmy, że Microsoft planował zablokować certyfikaty TLS podpisane przez SHA-1, ale ostatnio firma udostępniła więcej szczegółów w tej sprawie. Najwyraźniej zarówno Microsoft Edge, jak i Internet Explorer będą blokować certyfikaty TLS podpisane przez SHA-1 począwszy od lutego 2017 roku.
Po wydaniu rocznicowej aktualizacji Microsoft Edge i Internet Explorer nie będą już uważać stron internetowych chronionych za pomocą SHA-1 za bezpieczne. Ikona kłódki na pasku adresu zostanie usunięta, aby to wskazać, więc każda witryna internetowa z podpisanym protokołem SHA-1 TLS będzie musiała wprowadzić kilka ważnych zmian, zanim firma Microsoft wprowadzi tę nową aktualizację.
Ta aktualizacja zostanie dostarczona do przeglądarki Microsoft Edge w systemie Windows 10 i Internet Explorer 11 w systemie Windows 7, Windows 8.1 i Windows 10 i będzie miała wpływ tylko na certyfikaty powiązane z urzędem certyfikacji w programie Microsoft Trusted Root Certificate. Zarówno Microsoft Edge, jak i Internet Explorer 11 udostępnią dodatkowe szczegóły w konsoli narzędzi deweloperskich F12, aby pomóc administratorom witryn i programistom, zgodnie z Microsoft.
Programiści będą chcieli wiedzieć, jak przetestować blokowanie certyfikatów TLS podpisanych przez SHA-1. Poniższe informacje będą rejestrować certyfikaty SHA1, więc nie oczekuj, że zostaną one zablokowane.
Najpierw utwórz katalog logowania i nadaj uniwersalny dostęp:
set LogDir = C: \ Log mkdir% LogDir% icacls% LogDir% / grant * S-1-15-2-1: (OI) (CI) (F) icacls% LogDir% / grant * S-1-1- 0: (OI) (CI) (F) icacls% LogDir% / grant * S-1-5-12: (OI) (CI) (F) icacls% LogDir% / setintegritylevel L
Włącz rejestrowanie certyfikatów
Certutil -setreg chain \ WeakSignatureLogDir% LogDir% Certutil -setreg chain \ WeakSha1ThirdPartyFlags 0x80900008
Użyj następującego polecenia, aby usunąć ustawienia po zakończeniu testów.
Certutil -delreg chain \ WeakSha1ThirdPartyFlags
Certutil -delreg chain \ WeakSignatureLogDir
Microsoft ma całą stronę internetową wyjaśniającą potrzebę tego posunięcia, skierowaną między innymi do tłumu programistów.