Vi har lenge visst at Microsoft planla å blokkere SHA-1-signerte TLS-sertifikater, men nylig delte selskapet mer informasjon om saken. Tilsynelatende vil både Microsoft Edge og Internet explorer begge blokkere SHA-1-signerte TLS-sertifikater fra februar 2017.
Når jubileumsoppdateringen ruller ut, vil ikke Microsoft Edge og Internet Explorer lenger betrakte websider som er beskyttet med SHA-1 som sikre. Låsikonet i adressefeltet vil bli fjernet for å indikere dette, så ethvert nettsted med SHA-1 signert TLS må gjøre noen viktige endringer før Microsoft lanserer denne nye oppdateringen.
Denne oppdateringen vil bli levert til Microsoft Edge på Windows 10 og Internet Explorer 11 på Windows 7, Windows 8.1 og Windows 10, og vil bare påvirke sertifikater som kjedes til en CA i Microsoft Trusted Root Certificate-programmet. Både Microsoft Edge og Internet Explorer 11 vil gi ytterligere detaljer i F12 Developer Tools-konsollen for å hjelpe nettstedsadministratorer og utviklere, ifølge Microsoft.
Utviklere vil ønske å vite hvordan de kan teste blokkering av deres SHA-1-signerte TLS-sertifikater. Følgende informasjon vil logge SHA1-sertifikatene dine, så forvent ikke at sertifikatene dine blir blokkert.
Opprett først en loggkatalog og gi universell tilgang:
sett LogDir = C: \ Log mkdir% LogDir% icacls% LogDir% / grant * S-1-15-2-1: (OI) (CI) (F) icacls% LogDir% / grant * S-1-1- 0: (OI) (CI) (F) icacls% LogDir% / grant * S-1-5-12: (OI) (CI) (F) icacls% LogDir% / setintegritylevel L
Aktiver sertifikatlogging
Certutil -setreg-kjede \ WeakSignatureLogDir% LogDir% Certutil -setreg-kjede \ WeakSha1ThirdPartyFlags 0x80900008
Bruk følgende kommando for å fjerne innstillingene etter at du har fullført testen.
Certutil -delreg-kjede \ WeakSha1ThirdPartyFlags
Certutil -delreg kjede \ WeakSignatureLogDir
Microsoft har en hel webside som forklarer behovet for dette trekket, blant annet rettet mot utviklermengden.