none
Certificati CA SHA1 to SHA2 RRS feed

  • Domanda

  • Buonasera a tutti,

    leggevo su alcuni articoli che da Febbraio 2017 il certificato sha1 viene deprecato su alcuni browser, tra i quali EDGE e INTERNET EXPLORER rendendo di fatto "insicuri" i siti esposti con tale algoritmo.

    All' interno dei nostri domini 2008R2 (active directory) e 2012 (per exchange) abbiamo due CA interne da dove abbiamo emesso certificati interni in sha1.

    Vi chiedo se:

     - I certificati interni devono essere obbligatoriamente convertiti in sha-2 entro Febbraio 2017;

     - Se avete applicato, o state pensando di applicare, la seguente nota sulle CA Interne:

    https://blogs.technet.microsoft.com/askds/2015/10/26/sha1-key-migration-to-sha256-for-a-two-tier-pki-hierarchy/

    Grazie per il supporto.

    mercoledì 7 dicembre 2016 13:50

Risposte

  • I browser continuano a lavorare ma ovviamente non è la soluzione migliore.

    Nel tuo caso specifico, Microsoft Software Key Storage Provider non può essere migrato. La soluzione migliore è quella di aggiungere una nuova CA per generare i nuovi certificati.

    Trovi una nota di Amer Kamal in una delle risposte del seguente Post Blog (https://blogs.technet.microsoft.com/pki/2013/09/19/upgrade-certification-authority-to-sha256/):
    Q: I'm trying to renew a Root CA, what was issued with the "Microsoft Strong Cryptographic Provider" 10 years ago. While everyone talks about upgrading the Signing Algorithm, I cannot find any articles or information pertaining on how to upgrade from the "Microsoft Strong Cryptographic Provider" to the "Microsoft Software Key Storage Provider" which supports SHA2 (SAH256,SHA512).
    A: The only way you can do so is by installing a new CA

    Per la migrazione della CA puoi fare riferimento alla guida di Ammar Hasayen SHA-2 Support – Migrate your CA from CSP to KSP (il link è presente nel Post Blog che hai indicato tu).

    Saluti
    Nino

    giovedì 8 dicembre 2016 08:23
    Moderatore

Tutte le risposte

  • Ciao Francesco, i certificati interni non rientrano tra quelli deprecati. Ovviamente andrebbero aggiornati a livello SHA-256 per essere in linea con le nuove specifiche di sicurezza anche se, come hai potuto constatare dal link che hai postato non è una cosa da poco.

    L'unico dubbio è sulla parte Exchange. Avete utilizzato un certificato interno e non un certificato pubblico?

    Saluti
    Nino

    mercoledì 7 dicembre 2016 22:05
    Moderatore
  • Ciao Nino,

    grazie per la risposta.

    Per Exchange, abbiamo un certificato pubblico sha256.

    Ti chiedo se, come dici Tu per i certificati interni non è necessario aggiornare a sha-256, se aggiorno i broswer ai pc cosa succede alle applicazioni intranet? Il browser restituisce il messaggio "Untrusted" ma poi funziona, giusto?

    Da questa fonte ho appreso che i certificati sha1 saranno deprecati dal 01/02/2017:

    http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-sha1-certificates.aspx

    Poi, qui ho trovato un' altra guida su come "convertire" la CA:

    http://www.cusoon.fr/update-microsoft-certificate-authorities-to-use-the-sha-2-hashing-algorithm-2/

    Però, nel mio caso non ben capito se posso applicare tale procedura oppure no; la nostra CA ha una crittografia "Microsoft Strong Cryptographic Provider" mentre nella guida si parla di "Microsoft Software Key Storage Provider".

    Grazie ancora.

    giovedì 8 dicembre 2016 07:32
  • I browser continuano a lavorare ma ovviamente non è la soluzione migliore.

    Nel tuo caso specifico, Microsoft Software Key Storage Provider non può essere migrato. La soluzione migliore è quella di aggiungere una nuova CA per generare i nuovi certificati.

    Trovi una nota di Amer Kamal in una delle risposte del seguente Post Blog (https://blogs.technet.microsoft.com/pki/2013/09/19/upgrade-certification-authority-to-sha256/):
    Q: I'm trying to renew a Root CA, what was issued with the "Microsoft Strong Cryptographic Provider" 10 years ago. While everyone talks about upgrading the Signing Algorithm, I cannot find any articles or information pertaining on how to upgrade from the "Microsoft Strong Cryptographic Provider" to the "Microsoft Software Key Storage Provider" which supports SHA2 (SAH256,SHA512).
    A: The only way you can do so is by installing a new CA

    Per la migrazione della CA puoi fare riferimento alla guida di Ammar Hasayen SHA-2 Support – Migrate your CA from CSP to KSP (il link è presente nel Post Blog che hai indicato tu).

    Saluti
    Nino

    giovedì 8 dicembre 2016 08:23
    Moderatore
  • Ciao Nino,

    nel mio caso, quindi, avendo "Provider = Microsoft Strong Cryptographic Provider" sono costretto ad installare una nuova CA seguendo la seguente nota:

    https://ammarhasayen.com/2015/02/04/sha-2-support-migrate-your-ca-from-csp-to-ksp/

    In pratica, la migrazione non posso farla direttamente, pero' posso riemettere una nuova CA Microsoft Strong Cryptographic Provider ed abilitarla in sha-256

    Ho capito bene?

    Grazie ancora.

    giovedì 8 dicembre 2016 10:08
  • Esatto
    sabato 10 dicembre 2016 17:06
    Moderatore
  • Ciao Nino,

    cambiando la root CA in sha2, per i certificati Basic EFS rilasciati agli utenti di dominio cambia qualcosa? Continueranno ad essere distribuiti agli utenti senza problemi?

    Grazie

    venerdì 6 gennaio 2017 07:22