Microsoft usuwa certyfikaty
- 21.12.2015, godz. 14:54
Certyfikaty dwudziestu urzędów certyfikacji (CA) utraciły zaufanie Microsoftu i w styczniu 2016r. zostaną usunięte. Zmiana obejmie dziesiątki tysięcy stron WWW zabezpieczanych za pomocą certyfikatów SSL wystawionych przez takie centra CA.
Przyczyną podjęcia takiej decyzji była albo dobrowolna rezygnacja z programu MTRCP (Microsoft’s Trusted Root Certificate Program) albo niezgodność z nowymi wymaganiami technicznymi i audytowymi opublikowanymi w czerwcu bieżącego roku. Na liście usuwanych certyfikatów znajdują się CA:
- Certigna
- Ceska Posta
- CyberTrust
- DanID
- E-Certchile
- e-Tugra
- LuxTrust
- Nova Ljubljanska
- Post.Trust
- Secom
- Serasa
- Wells Fargo
Wymienione CA prowadzą firmy z Brazylii, Chile, Danii, Irlandii, Japonii, Luksemburga, Republiki Czeskiej, Francji, Słowenii, Turcji i USA. Kompletna lista usuwanych certyfikatów razem z kryptograficznym odciskiem palca znajduje się na blogu Technet.
Usunięcie certyfikatu danego CA z listy zaufania Windows oznacza w praktyce fakt, że strony WWW zawierające certyfikaty podpisane przez to CA będą traktowane jako niezaufane przez wszystkie aplikacje, które korzystają z listy zaufania Microsoftu. Takim aplikacjami są między innymi Google Chrome, Internet Explorer, Microsoft Edge oraz Microsoft Outlook. Usunięcie CA nie wpływa na pracę przeglądarki Mozilla Firefox, która nie korzysta z certyfikatów dostarczanych przez Microsoft, prowadzi listę zaufanych CA samodzielnie.
Zobacz również:
Microsoft poinformował, że podejmowane działania nie są związane z wycofywaniem certyfikatów podpisanych z użyciem algorytmu SHA-1, ale z tym, że firmy nie spełniły wymagań stawianych przez Microsoft, by zapewnić bezpieczeństwo i zgodność ze standardami branżowymi.