Avis de déploiement de mars 2024 - Programme racine approuvé Microsoft

Le 26 mars 2023, Microsoft a publié une mise à jour pour le Programme de certificat racine approuvé Microsoft.

Cette version va ajouter les racines (CA \ Root Certificate \ SHA-1 Thumbprint) suivantes :

1. Secom // SECOM RSA Root CA 2023 // 4E004413485C145D9FDE64ADB16756E8F26AAC8A
2. Secom // SECOM Document Signing RSA Root CA 2023 // FDD93B294972BA743A0C2E6ABCFA10050652A047
3. Microsec // E-Szigno TLS Root CA 2023 // 6F9AD5D5DFE82CEBBE3707EE4F4F52582941D1FE
4. Buypass // Buypass Class 3 Root CA G2 HT // 2F7F1FC907B84E71EACC5695E186A144136E595A
5. QuoVadis, DigiCert // QuoVadis Client RSA 4096 Root G4 // 1068BFBEA253BAE0E6E03F34E8C2F1CE2D764B57
6. QuoVadis, DigiCert // QuoVadis SMIME ECC P384 Root G4 // 5B27E1E3C91FD30E6E6EE66EDFED12F5BCDF9236
7. QuoVadis, DigiCert // QuoVadis SMIME RSA 4096 Root G4 // C9B8DBF79C9A3D54B7E46EE63D72F9435E32BFA6
8. QuoVadis, DigiCert // QuoVadis TLS ECC P384 Root G4 // B6BF372A3689B35699F09913DA011D73A6E10FCE
9. QuoVadis, DigiCert // QuoVadis TLS RSA 4096 Root G4 // 20AFEA8DCB031F0684DF8FFD2598C8B7967FCD3C
10. CCA India // CCA India 2022 SPL // 9152D077FEF058914009BB4C0E42A710A38238AF

Stratégie CTLM (Certificate Transparency Log Monitor)
La stratégie CTLM (Certificate Transparency Log Monitor) est désormais incluse dans la durée de vie Windows mensuelle. Il s’agit d’une liste de serveurs de journalisation approuvés publiquement pour valider la transparence des certificats sur Windows. La liste des serveurs de journalisation devrait changer au fil du temps à mesure qu’ils sont supprimés ou remplacés, et cette liste reflète les serveurs de journalisation CT approuvés par Microsoft. Dans la prochaine version de Windows, les utilisateurs sont en mesure de choisir la validation de la transparence des certificats, qui vérifie la présence de deux horodatages de certificat signés (SCT) provenant de différents serveurs de journalisation dans CTLM. Cette fonctionnalité est actuellement testée avec la journalisation des événements uniquement pour s’assurer qu’elle est fiable avant que les applications individuelles puissent opter pour l’appliquer.

Remarque

• Dans le cadre de cette mise en production, Microsoft a également mis à jour l'horodatage et le numéro de séquence de la liste CTL non approuvée. Aucune modification n'a été apportée au contenu de la liste de certificats de confiance non approuvés, mais ceci va provoquer le téléchargement ou l'actualisation de la liste de certificats de confiance non approuvés par votre système. Il s'agit d'une mise à jour normale qui est parfois effectuée lors de la mise à jour de la liste CTL racine de confiance.
• Le package de mise à jour sera disponible pour téléchargement et test à l'adresse suivante : https://aka.ms/CTLDownload
• Les signatures sur les listes de certificats de confiance (CTL) pour le Programme de certificats racines approuvés Microsoft sont passées d'une double signature (SHA-1/SHA-2) à une signature SHA-2 uniquement. Aucune action du client n'est nécessaire. Pour plus d'informations, consultez :https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus