Microsoft 受信任根计划的 2020 年 4 月部署通知

2020 年 4 月 28 日星期二,Microsoft 发布了对 Microsoft 受信任的根证书计划的计划内更新。

此发布将删除以下根(CA \ 根证书 \ SHA-1 指纹):

  1. Microsoft Corporation \ Microsoft ECC 根证书颁发机构 2017 \ 7CA9013D43721551E987380B3EAE4B442DC037EA
  2. Microsoft Corporation \ Microsoft RSA Root Certificate Authority 2017 \ EE68C3E94AB5D55EB9395116424E25B0CADD9009
  3. Microsoft Corporation \ Microsoft EV ECC 根证书颁发机构 2017 \ B8095F5A89FB47A7017ED794DD4F611E27830E27
  4. Microsoft Corporation \ Microsoft EV RSA Root Certificate Authority 2017 \ 3AD38A39CE4E88DCDF46995E969FC339D0799858

此发布将删除以下根的 NotBefore 状态:

  1. DocuSign (OpenTrust/Keynectis) \ OpenTrust Root CA G1 \ 7991E834F7E2EEDD08950152E9552D14E958D57E

注意

  • 在 Windows 10 中,我们可以使用“NotBefore”或“Disable”属性来停止信任根或 EKU,这两个属性都使我们可以删除根证书的某些功能而不删除全部功能。 这些功能在 Windows 10 之前的版本中不可用。 早期版本的 Windows 将不受此更改影响。
  • NotBefore 日期和 Disable 日期设置为发布月份的第一天。 这意味着所有在 4 月 1 日后颁发的证书将受影响。
  • 可从以下网址下载并测试更新包:https://aka.ms/CTLDownload
  • 对于 Microsoft 受信任根证书计划,证书信任列表 (CTL) 的签名已从双重签名 (SHA-1/SHA-2) 更改为仅 SHA-2。 客户无需执行任何操作。 有关详细信息,请访问:https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus