Azure TLS Sertifikası Değişiklikleri

 

Azure hizmetlerinin özgünlüğüne size ek güvence vermek için, çoğu Azure hizmetleri, SSL/ TLS sertifikalarını, Microsoft'un faaliyet gösterdiği bilinen  intermediate certificate authorities (CA'lar) edinir. Microsoft bu CA'ların ayrıntılarını Certificate Practice Statement (CPS) yayınlamaktadır .

Bazı kuruluşlar, sertifika sabitleme adlı bir güvenlik uygulamasını kullanarak uygulamalarını belirli CA'larla yapılandırır . CA'lar geçerlilik süresi dolduğundan ve değiştirildiğinden, bu uygulama, en yeni CA'ları kullanabilmek için uygulamaların periyodik olarak güncellenmesini gerektirir. Bu zamanında yapılmazsa, uygulama kesilebilir. Bu işlemi sizin için kolaylaştırmak için Microsoft, yeni CA'ları bunları kullanmadan önce yayınlar.

Azure tarafından kullanılan şu anki ara CA'ların Mayıs 2018'de sona ermesi bekleniyor. Microsoft, geçen yıl CPS'nin Temmuz 2016 revizyonunda yeni bir CA seti yayınladı. Azure hizmetleri, bu yeni CA'ları 27 Temmuz 2017'den itibaren kullanmaya başlayacaktır. Kuruluşunuz, uygulamanızı belirli CA'lar ile yapılandırıyorsa, uygulamanızın kesintiyi önlemek için 27 Temmuz 2017 tarihine kadar güncellenmiş olmasını sağlamalısınız.

Neler değişiyor?

Bu bilgiler ayrıca Microsoft'un Sertifika Uygulama Bildirimi'nde (CPS) bulunabilir .

Bugün Azure hizmetleri için TLS sertifikaları aşağıdaki ara CA'lardan verilmektedir:

CN	Thumbprint
Microsoft IT SSL SHA2	97 ef f3 02 86 77 89 4b dd 4f 9a c5 3f 78 9b ee 5d f4 ad 86
Microsoft IT SSL SHA2	94 8e 16 52 58 62 40 d4 53 28 7a b6 9c ae b8 f2 f4 f0 21 17

 

27 Temmuz 2017'den itibaren, Azure hizmetleri için TLS sertifikaları yukarıdaki CA'lardan veya aşağıdaki dört ilave intermediate CA'dan verilecek.

CN	Thumbprint
Microsoft IT TLS CA 1	41 7e 22 50 37 fb fa a4 f9 57 61 d5 ae 72 9e 1a ea 7e 3a 42
Microsoft IT TLS CA 2	54 d9 d2 02 39 08 0c 32 31 6e d9 ff 98 0a 48 98 8f 4a df 2d
Microsoft IT TLS CA 4	8a 38 75 5d 09 96 82 3f e8 fa 31 16 a2 77 ce 44 6e ac 4e 99
Microsoft IT TLS CA 5	ad 89 8a c7 3d f3 33 eb 60 ac 1f 5f c6 c4 b2 21 9d db 79 b7

 

Not: Yeni CA numaralandırma sistemi # 3'ı atlar.

ek detaylar

 

• CN = Microsoft IT TLS CA 1 [2,4,5]
• OU = Microsoft IT
• = Microsoft Corporation
• L = Redmond
• S = Washington
• C = ABD

Son nokta değişiklikleri:

Original CRL distribution point	http://cdp1.public-trust.com/CRL/Omniroot2025.crl
New CRL distribution point	http://crl3.digicert.com/Omniroot2025.crl
OCSP	http://ocsp.digicert.com

 

Bu beni etkileyecek mi

Azure müşterilerinin çoğunun etkilenmeyecek olmasını bekliyoruz. Aşağıdaki senaryolarda etkileneceksiniz:

1. Bir veya daha fazla Azure hizmeti çağıran bir uygulamanız, tarayıcınız veya hizmetiniz varsa ve uygulamanız bu Azure hizmetleri için kimlerin TLS sertifikaları yayınladığını açık bir şekilde doğ Buna statik sertifika sabitlemesi denir.
2. Giden aramalara yalnızca belirli CRL indirme ve / veya OCSP doğrulama yerlerine izin vermek için güvenlik duvarı kuralları

Kullanmakta olduğunuz bir uygulamanın statik sertifika sabitlemesi olup olmadığını algılamak için aşağıdakileri yapın:

1. Söz konusu uygulamanın kaynak koduna sahipseniz, bu değere sahip Thumbprint arayın "97 ef f3 02 86 77 89 4b dd 4f 9a c5 3f 78 9b ee 5d f4 ad 86" veya "94 8e 16 52 58 62 40 D4 53 28 7a b6 9c ae b8 f2 f4 f0 21 17 ". Bir eşleşme varsa, başvurunuz etkilenir.
2. Uygulamayı satın aldıysanız, uygulama satıcısına danışı

 

Etkilenirsem ne yapmam gerekecek?

Başvurunuz yukarıdaki bölümlerde listelenen ölçütleri karşılıyorsa, geçerli CA'lara ek olarak dört yeni CA'tan herhangi birini kabul etmek için uygulamanızda sertifika kilitleme kodunu güncellemeniz gerekir.

Benzer şekilde, ortamınız giden ağ erişimini engelliyorsa uygulamanızın yeni CRL dağıtım noktalarına ve OCSP uç noktasına erişebildiğinden emin olmanız gerekir.

Kaynak: https://blogs.msdn.microsoft.com/azuresecurity/2017/06/12/azure-tls-certificate-changes/?WT.mc_id=azurebg_email_Trans_33716_1407_SSL_Intermediate_Cert_Change