Aviso de implementación de abril de 2020 para el programa raíz de confianza de Microsoft

El martes 28 de abril de 2020, Microsoft lanzó una actualización planeada del Programa de certificados raíz de confianza de Microsoft.

Esta versión quita los siguientes certificados raíz (entidad de certificación \ certificado raíz \ huella digital de SHA-1):

  1. Microsoft Corporation \ Microsoft ECC Root Certificate Authority 2017 \ 7CA9013D43721551E987380B3EAE4B442DC037EA
  2. Microsoft Corporation \ Microsoft RSA Root Certificate Authority 2017 \ EE68C3E94AB5D55EB9395116424E25B0CADD9009
  3. Microsoft Corporation \ Microsoft EV ECC Root Certificate Authority 2017 \ B8095F5A89FB47A7017ED794DD4F611E27830E27
  4. Microsoft Corporation \ Microsoft EV RSA Root Certificate Authority 2017 \ 3AD38A39CE4E88DCDF46995E969FC339D0799858

Esta versión quitará el estado NotBefore de los certificados raíz siguientes:

  1. DocuSign (OpenTrust/Keynectis)\ OpenTrust Root CA G1 \ 7991E834F7E2EEDD08950152E9552D14E958D57E

Nota

  • Windows 10 permite dejar de confiar en los certificados raíz o los EKU mediante las propiedades "NotBefore" o "Disable", que nos permiten quitar ciertas funcionalidades del certificado raíz sin eliminarlo por completo. Estas características no están disponibles en las versiones anteriores a Windows 10. Las versiones anteriores de Windows no se verán afectadas por este cambio.
  • Las fechas NotBefore y Disable se establecen para el primer día del mes de lanzamiento. Esto significa que afectarán a todos los certificados emitidos después del 1 de abril.
  • El paquete de actualización estará disponible para su descarga y prueba en: https://aka.ms/CTLDownload
  • Las firmas de las listas de confianza de certificados (CTL) del Programa de certificados raíz de confianza de Microsoft han pasado de la doble firma (SHA-1/SHA-2) a una firma SHA-2 única. No se requiere ninguna acción del cliente. Para más información, visite: https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus.