Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Azure предлагает комплексное управляемое решение TLS, интегрированное с несколькими службами Майкрософт. Эта возможность включает в себя управляемые сервером сертификаты TLS для пользовательских доменов, предоставляемых DigiCert.
В результате изменения отраслевых стандартов соответствия, требований к безопасности и жизненного цикла PKI это предложение будет проходить несколько основных обновлений в 2025 и 2026 годах, которые повлияет на клиентов, использующих эту функцию.
Обновления PKI
Начиная с конца 2025 года Azure начала обновлять управляемое решение TLS, чтобы соответствовать предстоящим требованиям браузера. Эти изменения влияют на все управляемые сертификаты TLS, выданные для следующих служб Azure:
- Azure Front Door (AFD) и CDN Classic
- SKU серии Azure Front Door Standard/Premium
- Управление API Azure
- Служба приложений Azure
- Приложения-контейнеры Azure
- Статические веб-приложения Azure
- Служба хранилища Azure (Azure Blobs, Azure Files, Azure Tables, Azure Queues, статический веб-сайт и Azure Data Lake Storage)
Ключевые изменения
Это обновление включает два ключевых изменения:
Новые корневые и подчиненные центры сертификации (ЦС):
- Все управляемые сертификаты TLS будут перенесены из центров сертификации (ЦС) под глобальный корневой ЦС DigiCert на ЦС под DigiCert Global Root G2 и DigiCert Global Root G3. Этот переход обеспечивает соответствие требованиям доверенных корневых программ браузера.
Удаление EKU проверки подлинности клиента
- Эти новые ЦС не поддерживают проверку подлинности клиента в соответствии с требованиями доверенной корневой программы браузера. Все управляемые сертификаты TLS в новых центрах сертификации будут включать только расширенное использование ключей проверки подлинности сервера (EKU).
Потенциальное влияние клиента
Чтобы подготовиться к изменению, важно знать, как изменения могут повлиять на клиентов.
Закрепление сертификатов
- Если вы закрепляете сертификаты или открытые ключи, необходимо обновить наборы пин-кодов, чтобы включить новые корни и промежуточные.
- Статическое закрепление настоятельно не рекомендуется из-за эксплуатационного риска.
Проверка подлинности клиента
- Если ваше приложение полагается на EKU аутентификации клиента в публичных сертификатах, необходимо обновить конфигурацию для использования сертификатов из других УЦ.
- Управляемые сертификаты TLS будут поддерживать только EKU для проверки подлинности сервера.
Проверка домена
Начиная с конца 2025 года DigiCert переходит на новую платформу проверки контроля домена с открытым исходным кодом (OSS), предназначенную для повышения прозрачности и подотчетности в процессах проверки домена. DigiCert больше не будет поддерживать устаревший рабочий процесс DCV делегирования CNAME для проверки управления доменами в указанных службах Azure.
Следовательно, эти службы Azure будут внедрять расширенный процесс проверки управления доменами, стремясь значительно ускорить проверку домена и устранить ключевые уязвимости в пользовательском интерфейсе.
Это изменение не влияет на стандартный процесс DCV CNAME для клиентов DigiCert, где проверка использует случайное значение в записи CNAME. Только этот рабочий процесс для проверки, ранее используемой корпорацией Майкрософт, отменяется.
Предупреждение
Клиенты, которые не обновили свои конфигурации для соблюдения изменений управляемого TLS, будут иметь сбой службы, если они не обновляют конфигурацию.
- При истечении срока действия текущего сертификата гарантируется сбой.
- Если сертификат отозван, может произойти сбой.
В случае отзыва сертификаты должны быть отозваны в течение 24 часов, как это требуется базовым требованиям центра сертификации или браузера, оставляя очень мало времени на реагирование. Клиенты должны обновлять конфигурации с срочностью, чтобы избежать сбоев.
Часто задаваемые вопросы
Вопрос. Поддержка личных доменов прекращена?
Нет. Эта функция очень поддерживается и на самом деле получает несколько ключевых обновлений, которые улучшают общий интерфейс пользователя.
Замечание
Классические номера SKU AFD и CDN, которые находятся на пути к отмене, не поддерживают добавление новых пользовательских доменов. Дополнительные сведения см. в статье Azure Front Door (классическая версия) и Azure CDN в Классическом SKU от Microsoft, завершают требование проверки домена на основе CNAME и создание новых доменов/профилей к 15 августа 2025 г. Клиентам рекомендуется использовать управляемые сертификаты TLS с SKU AFD Standard и Premium для новых пользовательских доменов.
Вопрос. Что такое проверка управления доменом?
Проверка управления доменами (DCV) — это критически важный процесс, используемый для проверки того, что сущность, запрашивающая сертификат TLS/SSL, имеет законный контроль над доменами, перечисленными в сертификате.
О: Отказывается ли DigiCert от использования валидации управления доменом с использованием CNAME?
Нет. Отменяется только этот конкретный метод проверки CNAME, уникальный для служб Azure. Метод DCV CNAME, используемый клиентами DigiCert, например в случаях с сертификатами DigiCert OV/EV и DV, не затронут.
Это изменение влияет только на Azure.
Вопрос. Почему Microsoft переходит на корневые сертификаты DigiCert Global G2 и G3?
Это изменение соответствует отраслевым стандартам и предстоящим требованиям браузера. 15 апреля 2026 года Mozilla и Chrome перестанут доверять DigiCert Global Root CA. Чтобы обеспечить доверие, все управляемые сертификаты TLS будут перемещены на DigiCert Global Root G2 и DigiCert Global Root G3 до этой даты. Дополнительные сведения см. в разделе "Корневой и промежуточный сертификат ЦС DigiCert с обновлениями 2023 года".
Вопрос. Почему удаляется EKU проверки подлинности клиента?
Это отраслевые изменения, вызванные доверенной корневой программой Chrome. Chrome ограничивает сертификаты TLS проверкой подлинности сервера для повышения безопасности и соответствия требованиям. Дополнительные сведения см. в разделе "Отказ от использования EKU для проверки подлинности клиента" в общедоступных сертификатах TLS компании DigiCert.