微软更新可信根证书计划以增强互联网中的信任

  • Article

对于微软而言,我们一直在努力兑现我们对客户及其生态系统安全做出的承诺。告知 Windows 用户其在线访问的网站、应用程序和软件的安全性是我们的一项战略,其核心部分已构建到 微软可信根证书计划中。此计划接受全球的授权证书颁发机构 (CA) 提供的根证书并将这些根证书移至您的设备上,从而告知设备哪些程序、应用程序和网站是受微软信任的。

我们为用户获得无缝、安全的体验所做的工作通常是在后台进行的,但今天我们要告诉您我们已对此计划做出的一些更改。这些重要的更改将帮助我们更好地防御会对网站和应用程序生态系统造成影响且不断演变的威胁,但这些更改可能会影响一小部分使用受影响的合作伙伴提供的证书的客户。

今年春天,我们开始与证书颁发机构 (CA) 接洽,以征求反馈并商谈即将对我们的可信证书计划进行的更改。此外,更改包括了更严格的技术和审核要求。最终的计划更改已于 2015 年 6 月发布。这之后,我们一直通过直接接触的方式以及通过社区论坛的方式帮助我们的合作伙伴了解并满足新的计划要求。

通过这一工作,我们确定了一些将不再参与此计划的合作伙伴,原因是他们选择了自愿退出或无法满足新的要求。我们在下面完整地列出了不合要求或自愿选择退出此计划的证书颁发机构,其证书将从 2016 年 1 月起移出受信任的根 CA 存储。我们建议当前受微软信任的数字证书的全部所有者查看此列表并根据需要采取行动。

如果您使用的证书链接到微软将移除的根证书,那么您所管理的依赖证书的服务将受影响。虽然实际屏幕和文本将因客户使用的浏览器而异,但一般会显示下面的
内容:

  • 如果您使用这些证书之一来保护通过 https 与您的服务器建立的连接,则当客户
    尝试导航至您的站点时,客户将看到一条指示安全证书存在问题的消息。
  • 如果您使用这些证书之一对软件进行签名,则当客户尝试将该软件安装在 Windows 操作系统上时,Windows 将显示一条发布者可能不受信任的警告。
    在以上任一情况下,客户可选择继续操作。

 

我们强烈建议当前受微软信任的数字证书的全部所有者查看以下列表并调查其证书是否与我们将在更新中移除的任何根证书关联。如果您使用由这些公司之一颁发的证书,强烈建议您从其他计划提供商处获取替换证书。所有提供商的列表位于以下网页中:https://aka.ms/trustcertpartners

对于 Windows 10,我们将继续努力为您提供更安全的体验以满足您对 Windows 的期待,使一切尽在您的掌控之中并帮助您完成重要的工作。

2016 1 月将移除的证书颁发机构

CA 

Root Name 

SHA1 Thumbprint

​Certigna

​Certigna

​B12E13634586A46F1AB2606837582DC4ACFD9497

​Ceska Posta

​PostSignum Root QCA 2

​A0F8DB3F0BF417693B282EB74A6AD86DF9D448A3

​CyberTrust

​Japan Certification Services, Inc. SecureSign RootCA1

​CABB51672400588E6419F1D40878D0403AA20264

​CyberTrust

​Japan Certification Services, Inc. SecureSign RootCA2

​00EA522C8A9C06AA3ECCE0B4FA6CDC21D92E8099

​CyberTrust

​Japan Certification Services, Inc. SecureSign RootCA3

​8EB03FC3CF7BB292866268B751223DB5103405CB

​DanID

​DanID

​8781C25A96BDC2FB4C65064FF9390B26048A0E01

​E-Certchile

​E-Certchile Root CA

​C18211328A92B3B23809B9B5E2740A07FB12EB5E

​e-Tugra

​EBG Elektronik Sertifika Hizmet Saglayicisi

​8C96BAEBDD2B070748EE303266A0F3986E7CAE58

​e-Tugra

​E-Tugra Certification Authority

​51C6E70849066EF392D45CA00D6DA3628FC35239

​LuxTrust

​LuxTrust Global Root CA

​C93C34EA90D9130C0F03004B98BD8B3570915611

​Nova Ljubljanska

​NLB Nova Ljubljanska Banka d.d. Ljubljana

​0456F23D1E9C43AECB0D807F1C0647551A05F456

​Post.Trust

​Post.Trust Root CA

​C4674DDC6CE2967FF9C92E072EF8E8A7FBD6A131

​Secom

​SECOM Trust Systems Co Ltd.

​36B12B49F9819ED74C9EBC380FC6568F5DACB2F7

​Secom

​SECOM Trust Systems CO LTD

​5F3B8CF2F810B37D78B4CEEC1919C37334B9C774

​Secom

​SECOM Trust Systems CO LTD

​FEB8C432DCF9769ACEAE3DD8908FFD288665647D

​Serasa

​Serasa Certificate Authority I

​A7F8390BA57705096FD36941D42E7198C6D4D9D5

​Serasa

​Serasa Certificate Authority II

​31E2C52CE1089BEFFDDADB26DD7C782EBC4037BD

​Serasa

​Serasa Certificate Authority III

​9ED18028FB1E8A9701480A7890A59ACD73DFF871

​Wells Fargo

​WellsSecure Public Certificate Authority

​E7B4F69D61EC9069DB7E90A7401A3CF47D4FE8EE

​Wells Fargo

​WellsSecure Public Root Certification Authority 01 G2

​B42C86C957FD39200C45BBE376C08CD0F4D586DB

如何确定您的数字证书

如果您不清楚如何确定您的数字证书的根证书,我在下面根据不同的浏览器给出了一些指导。有关此计划本身的更多信息,请访问 https://aka.ms/rootcert

Microsoft Edge

  1. 导航至使用您的证书的网页。
  2. 单击 “锁定” 图标(位于 Web 地址字段中);“网站标识”下的公司为拥有根证书的公司。

Internet Explorer

  1. 导航至使用您的证书的网页。
  2. 单击 “锁定” 图标(位于 Web 地址字段中)。
  3. 单击 “查看证书” ,然后单击 “证书路径”
  4. 查看位于证书路径顶部的证书名称。

Chrome

  1. 导航至使用您的证书的网页。
  2. 单击 “锁定” 图标(位于 Web 地址字段中)。
  3. 单击 “连接” ,然后单击 “证书信息”
  4. 单击 “证书路径”
  5. 查看位于证书路径顶部的证书名称。

Firefox

  1. 导航至使用您的证书的网页。
  2. 单击 “锁定” 图标(位于 Web 地址字段中),然后单击右侧的箭头。
  3. 单击 “更多信息” ,然后单击 “查看证书”
  4. 单击 “详细信息”
  5. 查看位于证书路径顶部的证书名称。

Aaron Kornblum 企业和安全组项目经理,监管、风险管理和合规性