Avis de déploiement d’avril 2020 pour le programme racine approuvé Microsoft

Le mardi 28 avril 2020, Microsoft a publié une mise à jour planifiée du Programme de certificats racines approuvés Microsoft.

Cette version supprime les racines suivantes (Autorité de certification \ Certificat racine \ Empreinte SHA-1) :

  1. Microsoft Corporation \ Microsoft ECC Root Certificate Authority 2017 \ 7CA9013D43721551E987380B3EAE4B442DC037EA
  2. Microsoft Corporation \ Microsoft RSA Root Certificate Authority 2017 \ EE68C3E94AB5D55EB9395116424E25B0CADD9009
  3. Microsoft Corporation \ Microsoft EV ECC Root Certificate Authority 2017 \ B8095F5A89FB47A7017ED794DD4F611E27830E27
  4. Microsoft Corporation \ Microsoft EV RSA Root Certificate Authority 2017 \ 3AD38A39CE4E88DCDF46995E969FC339D079858

Cette version supprime l’état NotBefore des racines suivantes :

  1. DocuSign (OpenTrust/Keynectis)\ OpenTrust Root CA G1 \ 7991E834F7E2EEDD08950152E9552D14E958D57E

Notes

  • Windows 10 nous permet d’arrêter l’approbation des racines ou de l’utilisation améliorée de la clé à l’aide des propriétés « NotBefore » ou « Disable », qui nous permettent de supprimer certaines fonctionnalités du certificat racine sans une suppression complète. Ces fonctionnalités ne sont pas disponibles dans les versions antérieures à Windows 10. Les versions antérieures de Windows ne sont pas affectées par cette modification.
  • Les dates NotBefore et Disable sont définies pour le premier jour du mois de sortie. Cela signifie que tous les certificats émis après le 1er avril seront affectés.
  • Le package de mise à jour sera disponible au téléchargement et au test à l’adresse suivante : https://aka.ms/CTLDownload
  • Les signatures sur les listes de certificats de confiance (CTL) pour le programme racine approuvé Microsoft ont été remplacées d’une double signature (SHA-1/SHA-2) à SHA-2 uniquement. Aucune action du client n’est nécessaire. Pour plus d’informations, consultez : https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus