Aviso de implementación de febrero de 2022: Programa raíz de confianza de Microsoft

El martes 22 de febrero de 2022, Microsoft publicó una actualización para el Programa de certificados raíz de confianza de Microsoft.

Esta versión agrega a los certificados raíz siguientes (entidad de certificación \ certificado raíz \ huella digital de SHA-1):

  1. Solutions Notarius Inc \ Notarius Root Certificate Authority \ B1C3AC0977AAF147E5821A87F8DA32226A210693

Esta versión deshabilitará las siguientes raíces (CA \ Certificado raíz \ HUELLA DIGITAL SHA-1):

  1. Athex Exchange S.A. (Athex) \ ATHEX Root CA G2 \ 892A1BD4C8B0F8AA9A65ED4CB9D3BF4840B34BC1
  2. A-Trust \ A-Trust-Qual-02 [CD787] \ CD787A3D5CBA8207082848365E9ACDE9683364D8
  3. A-Trust \ A-Trust-Qual-03a \ 42EFDDE6BFF35ED0BAE6ACDD204C50AE86C4F4FA
  4. Digicert \ Symantec Enterprise Mobile Root for Microsoft \ 92B46C76E13054E104F230517E6E504D43AB10B5
  5. NLB Nova Liubliana Banka d.d. Liubliana \ NLB Nova Liubliana Banka d.d. Liubliana \ 0456F23D1E9C43AECB0D807F1C0647551A05F456
  6. Pos Digicert Sdn. Bhd (Malasia) \ PosDigicert Class 2 Root CA G2 \ 313B8D0E7E2E4D20AE8668FFE59DB5193CBF7A32
  7. Skaitmeninio sertifikavimo centras (SSC) \ SSC GDL CA Root B \ C860A318FCF5B7130B1007AD7F614A40FFFF185F
  8. Skaitmeninio sertifikavimo centras (SSC) \ SSC GDL CA VS Root \ D2695E12F592E9C8EE2A4CB8D55E295FEE6B2D31
  9. Swiss BIT, Swiss Federal Office of Information Technology, Systems and Telecomon (FOITT) \ Swiss Government Root CA II \ C7F7CBE2023666F986025D4A3E313F29EB0C5B38
  10. Swiss BIT, Swiss Federal Office of Information Technology, Systems and Telecomon (FOITT) \ Swiss Government Root CA III \ CCEAE32445CD4218DD188EADCEB3133C7FB340AD

Esta versión agrega una fecha NotBefore a los certificados raíz siguientes (entidad de certificación \ certificado raíz \ huella digital de SHA-1):

  1. Certinomis / Docapost \ Certinomis - Root CA \ 9D70BB01A5A4A018112EF71C01B932C534E788A8
  2. Cisco \ Cisco Systems \ DE990CED99E0431F60EDC3937E7CD5BF0ED9E5FA

Esta versión no tendrá la EKU de firma de código de NotBefore para las siguientes raíces (CA \ Certificado raíz \ Huella digital SHA-1):

  1. NetLock Ltd. \ NetLock Arany (Clase Gold) Fotanusitvany \ 06083F593F15A104A069A46BA903D006B7970991

Esta versión no tendrá la EKU de autenticación del servidor NotBefore para las raíces siguientes (CA \ Certificado raíz \ Huella digital SHA-1):

  1. Swiss BIT, Swiss Federal Office of Information Technology, Systems and Telecomon (FOITT) \ Swiss Government Root CA I \ A1585187156586CEF9C454E22AB15C58745607B4

Esta versión quita los siguientes certificados raíz (entidad de certificación \ certificado raíz \ huella digital de SHA-1):

  1. Cisco \ RXC-R2 \ 2C8AFFCE966430BA04C04F81DD4B49C71B5B81A0
  2. Comodo \ Sectigo (UTN Hardware) \ 0483ED399AC3608058722EDBC5E4600E3BEF9D7
  3. Cybertrust Japan / JCSI \ Japan Certification Services, Inc. SecureSign RootCA3 \ 8EB03FC3CF7BB292866268B751223DB5103405CB
  4. Cybertrust Japan / JCSI \ Japan Certification Services, Inc. SecureSign RootCA1 \ CABB51672400588E6419F1D40878D0403AA20264
  5. TurkTrust \ TURKTRUST Elektronik Sertifika Hizmet Saglayicisi H6 \ 8A5C8CEEA503E60556BAD81BD4F6C9B0EDE52FE0

Nota

  • Como parte de esta versión, Microsoft también actualizó la marca de tiempo y el número de secuencia de la CTL que no es de confianza. No se han hecho cambios en el contenido de la CTL que no es de confianza, pero esto motivará que el sistema descargue o actualice la CTL que no es de confianza. Se trata de una actualización normal que a veces se efectúa al actualizar la CTL raíz de confianza.
  • El paquete de actualización estará disponible para su descarga y prueba en: https://aka.ms/CTLDownload
  • Las firmas de las listas de confianza de certificados (CTL) del Programa de certificados raíz de confianza de Microsoft han pasado de la doble firma (SHA-1/SHA-2) a una firma SHA-2 única. No se requiere ninguna acción del cliente. Para más información, visite: https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus.