Cambios en la comprobación del certificado del servidor TLS del explorador Microsoft Edge

Nota

Microsoft Edge para empresas ya está disponible en la versión 116 estable de Edge. Obtenga más información sobre la nueva experiencia de trabajo dedicada con la seguridad, la productividad, la capacidad de administración y la inteligencia artificial nativas de nivel empresarial integrados.

Cuando Microsoft Edge establece conexiones a un servidor HTTPS, Edge comprueba que el servidor ha presentado un certificado emitido por una entidad de confianza del explorador. Esta relación de confianza se establece a través de una lista de confianza de certificados y el componente responsable de realizar las comprobaciones se denomina comprobador de certificados.

En versiones anteriores de Microsoft Edge, la plataforma del sistema operativo subyacente proporcionaba tanto la lista de confianza de certificados predeterminada como la lógica del comprobador de certificados.

En el caso de los dispositivos administrados, a partir de Microsoft Edge 112 en Windows y macOS, tanto la lista de confianza de certificados predeterminada como el comprobador de certificados se proporcionan y se envían con el explorador. Este enfoque desacopla la lista y el comprobador del almacén raíz del sistema operativo host para el comportamiento de comprobación predeterminado. Consulte la escala de tiempo de lanzamiento y la guía de pruebas para obtener más detalles sobre el tiempo del cambio.

Incluso después del cambio, además de confiar en las raíces integradas que se incluyen con Microsoft Edge, el explorador consulta la plataforma subyacente y confía en las raíces instaladas localmente que los usuarios o las empresas instalaron. Como resultado, los escenarios en los que un usuario o una empresa instalaron más raíces en el almacén raíz del sistema operativo host deben seguir funcionando.

Este cambio significa que la lógica de verificación de certificados funciona de forma coherente en Microsoft Edge en Windows y macOS. En una versión futura que se determinará, el lanzamiento también se aplicará a Linux y Android. Debido a las directivas de apple App Store, el almacén raíz y el comprobador de certificados proporcionados por Apple siguen utilizándose en iOS e iPadOS.

Origen predeterminado de la lista de confianza de certificados

El almacén raíz que se incluye con Microsoft Edge en Windows y macOS procede de la lista de confianza de certificados (CTL) definida por el Programa de certificados raíz de confianza de Microsoft. Este programa de certificados raíz define la lista que se incluye con Microsoft Windows. Como resultado, los clientes deben esperar que no se vean cambios visibles por el usuario.

En macOS, si un certificado emitido por un certificado raíz que es de confianza para la plataforma, pero no por el Programa de certificados raíz de confianza de Microsoft, el certificado ya no es de confianza. No se espera que esta falta de confianza sea una situación común, ya que la mayoría de los servidores ya garantizan que Microsoft Windows confía en los certificados TLS que usan.

Novedades se publican en la cadencia documentada en las notas de la versión del Programa raíz de confianza de Microsoft.

Escala de tiempo de lanzamiento y guía de pruebas

A partir de Microsoft Edge 109, una directiva empresarial (MicrosoftRootStoreEnabled) y una marca en edge://flags ("Microsoft Root Store") están disponibles para controlar cuándo se usan el almacén raíz integrado y el comprobador de certificados.

Los dispositivos que no están administrados por la empresa comenzaron a recibir la característica a través de un lanzamiento controlado de características (CFR) en Microsoft Edge 109 y alcanzaron el 100 % de los dispositivos no administrados en Edge 111. Para obtener más información, vea Configuraciones y experimentación de Microsoft Edge, que explica cómo funcionan los CFR en Microsoft Edge. En el caso de los dispositivos administrados por la empresa, la implementación existente proporcionada por la plataforma se usó a través de Microsoft Edge 111.

A partir de Microsoft Edge 112, el valor predeterminado cambió para todos los dispositivos Windows y macOS, incluidos los administrados por la empresa, para usar la implementación del comprobador y el CTL incluidos con el explorador. La directiva MicrosoftRootStoreEnabled sigue estando disponible en esta versión para permitir a las empresas revertir al comportamiento anterior si se encuentran problemas inesperados y notificar los problemas a Microsoft.

Microsoft recomienda que las empresas que tienen servidores proxy de interrupción e inspección u otros escenarios que impliquen certificados de servidor TLS emitidos por raíces que no están en el CTL de Microsoft identifiquen e informen proactivamente de los problemas de compatibilidad a Microsoft.

En Microsoft Edge 115, se quita la compatibilidad con la directiva MicrosoftRootStoreEnabled .

Diferencias conocidas de comportamiento de certificado de confianza local en Windows

Cumplimiento de RFC 5280 más estricto

El nuevo comprobador de certificados integrado es más estricto para aplicar los requisitos de RFC 5280 que el comprobador antiguo basado en la plataforma.

Algunos ejemplos de cumplimiento de RFC 5280 más estricto son:

1. Los parámetros de algoritmo para los algoritmos ECDSA deben estar ausentes. El comprobador anterior omitiría los parámetros mientras que el nuevo rechaza el certificado. Para obtener más información, consulte Chromium 1453441 de problemas para obtener más información.
2. Las restricciones de nombre que especifican una dirección IP deben contener ocho octetos para direcciones IPv4 y 32 octetos para direcciones IPv6. Si el certificado especifica una dirección IP vacía, debe volver a emitir el certificado y omitir por completo la restricción de nombre de dirección IP.
3. Las restricciones de nombre con una lista "excluida" vacía no son válidas. El visor de certificados de Windows muestra esta lista como Excluded=None en los Name Constraints detalles. Para obtener más información, consulte Chromium 1457348 de problemas para obtener más información. En lugar de especificar una lista vacía, omita por completo.

Extensión de directivas de aplicación

Antes de Microsoft Edge 115, el nuevo comprobador no admite el campo de extensión "directivas de aplicación" solo para Windows que se describe en la documentación de la función CertGetEnhancedKeyUsage. En Microsoft Edge 115, se realizó una actualización para omitir la extensión. Consulte Chromium 1439638 de problemas para obtener más información.

Esta extensión usa el identificador de objeto (OID). 1.3.6.1.4.1.311.21.10 Si el certificado incluye esta extensión y la marca como crítica, se produce un error en la conexión con ERR_CERT_INVALID.

Puede usar una de las siguientes maneras de comprobar si este escenario se aplica al certificado:

1. Un registro de red capturado a través about:net-export de incluye la cadena ERROR: Unconsumed critical extension en CERT_VERIFIER_TASK con un valor OID de 2B060104018237150A.
2. Abra el certificado con el visor de certificados de Windows. En el filtro "Mostrar", seleccione "Solo extensiones críticas". Compruebe si hay un campo "Directivas de aplicación" presente.
3. Ejecute certutil.exe con el -dump modificador y revise la salida para comprobar si hay un campo de extensión de directivas de aplicación crítico.

Si el certificado usa actualmente esta extensión, asegúrese de que ahora funciona en Microsoft Edge 115. Como alternativa, vuelva a emitir el certificado y, en su lugar, dependa únicamente del campo de uso de clave mejorada (OID 2.5.29.37) para especificar los usos permitidos.

Diferencias de comportamiento de comprobación de revocación conocidas en Windows

Además de los requisitos rfc 5280 más estrictos, el nuevo comprobador no admite los URI de lista de revocación de certificados basados en LDAP (CRL).

Si la empresa habilita la directiva RequireOnlineRevocationChecksForLocalAnchors y las CRL no son válidas por RFC 5280, es posible que el entorno empiece a ver ERR_CERT_NO_REVOCATION_MECHANISM errores o ERR_CERT_UNABLE_TO_CHECK_REVOCATION .

Antes de Microsoft Edge 114, el nuevo comprobador basado en Chromium aplica las edades máximas del "requisito de línea base" para las CRL. En el caso de las revocaciones hoja, la edad máxima actual es de 7 días y para las revocaciones intermedias, la edad máxima actual es de 366 días. La comprobación se realiza comprobando que la hora actual menos la "Esta actualización" ("Fecha efectiva") no supera esos máximos. En Microsoft Edge 114, estos requisitos ya no se aplican para los certificados de confianza no pública. Para obtener más información, consulte Chromium 971714 de problemas.

Puesto que el nuevo comprobador descarga información de revocación a través de la pila de redes del explorador, también se aplican actualizaciones de seguridad de transporte estricta HTTP (HSTS). Esta actualización puede crear una incompatibilidad con el requisito de que la información de CRL se hospede a través de HTTP (no HTTPS) si el host tiene configurado un pin HSTS. Si este escenario afecta negativamente a su entorno, le recomendamos que comparta más información sobre el impacto a través de Chromium problema 1432246.

Si encuentra ERR_CERT_NO_REVOCATION_MECHANISM, debe confirmar que la CRL en el URI especificado por el certificado devuelve una respuesta codificada en DER (no codificada en PEM).

Si encuentra ERR_CERT_UNABLE_TO_CHECK_REVOCATION errores, debe confirmar que el emisor del certificado también es el emisor de CRL, que el campo del cRLIssuer certificado no está establecido, que el URI que hospeda la CRL usa el protocolo HTTP y que no está en un host configurado para usar HSTS y que la CRL se emitió hace bastante tiempo.

Ver también

• Seguridad de Microsoft Edge para su empresa
• Página de aterrizaje de Microsoft Edge Enterprise