Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Azure offre une solution TLS managée complète intégrée à plusieurs services Microsoft. Cette fonctionnalité inclut des certificats de serveur TLS gérés pour les noms de domaine personnalisés des clients, fournis par DigiCert.
En raison de l’évolution des normes de conformité du secteur, des exigences de sécurité et des changements de cycle de vie de l’infrastructure à clé publique, cette offre subira plusieurs mises à jour majeures en 2025 et 2026 qui affecteront les clients utilisant cette fonctionnalité.
Mises à jour de l’infrastructure à clé publique
À compter de la fin de 2025, Azure a commencé à mettre à jour sa solution TLS managée pour s’aligner sur les exigences de navigateur à venir. Ces modifications affectent tous les certificats TLS managés émis pour les services Azure suivants :
- Azure Front Door (AFD) et CDN Classic
- Azure Front Door Standard/Premium SKU
- Gestion des API Azure
- Azure App Service
- Azure Container Apps (Applications de Conteneur Azure)
- Applications Web statiques Azure
Principales modifications
Cette mise à jour comprend deux modifications clés :
Nouvelles autorités de certification racines et subordonnées :
- Tous les certificats TLS gérés migreront des autorités de certification sous DigiCert Global Root CA vers des autorités de certification sous DigiCert Global Root G2 et DigiCert Global Root G3. Cette transition garantit la conformité aux exigences du programme racine approuvé par le navigateur.
Suppression de l'EKU d'authentification de client
- Ces nouvelles autorités de certification ne prennent pas en charge l’authentification du client conformément aux exigences du programme racine approuvé par le navigateur. Tous les certificats TLS gérés sous les nouvelles autorités de certification incluent uniquement l’utilisation de la clé étendue de l’authentification serveur (EKU).
Impact potentiel du client
Pour préparer la modification, il est important de savoir comment les modifications pourraient affecter les clients.
Épinglage de certificat
- Si vous épinglez des certificats ou des clés publiques, vous devez mettre à jour vos jeux d’épingles pour inclure les nouvelles racines et les nouveaux intermédiaires.
- L’épinglage statique est fortement déconseillé en raison du risque opérationnel.
Authentification du client
- Si votre application s’appuie sur la référence EKU d’authentification cliente dans les certificats publics, vous devez mettre à jour votre configuration pour utiliser des certificats provenant d’autres autorités de certification.
- Les certificats TLS gérés ne prendront en charge que l’EKU d’authentification du serveur.
Validation de domaine
À compter de la fin de 2025, DigiCert passe à une nouvelle plateforme de validation de contrôle de domaine open source (DCV) conçue pour améliorer la transparence et la responsabilité dans les processus de validation de domaine. DigiCert ne prendra plus en charge le flux de travail DCV de délégation CNAME hérité pour la validation du contrôle de domaine dans les services Azure spécifiés.
Par conséquent, ces services Azure introduisent un processus de validation de contrôle de domaine amélioré, visant à accélérer considérablement la validation de domaine et à résoudre les vulnérabilités clés dans l’expérience utilisateur.
Cette modification n’affecte pas le processus DCV basés sur CNAME standard pour les clients DigiCert, où la validation utilise une valeur aléatoire dans l’enregistrement CNAME. Seul ce flux de travail pour la validation précédemment utilisée par Microsoft est mis hors service.
Avertissement
Les clients qui n’ont pas mis à jour leurs configurations pour se conformer aux modifications TLS managées auront une panne de service s’ils ne le font pas.
- Une panne est garantie lorsque le certificat actuel expire.
- Une panne peut se produire si le certificat est révoqué.
En cas de révocation, les certificats doivent être révoqués dans les 24 heures, comme l’exigent les Exigences de base du CA/Browser Forum, ce qui laisse très peu de temps pour répondre. Les clients doivent mettre à jour leurs configurations de toute urgence pour éviter toute interruption.
Questions fréquentes
Q : La prise en charge des domaines personnalisés est-elle supprimée ?
Non. La fonctionnalité est très prise en charge et reçoit en fait plusieurs mises à jour clés qui améliorent l’expérience utilisateur globale.
Remarque
Les références SKU AFD Classic et CDN Classic, qui sont en voie d’obsolescence, ne prendront plus en charge l’ajout de nouveaux domaines personnalisés Pour plus d’informations, consultez Azure Front Door (classique) et Azure CDN de Microsoft SKU Classique mettant fin à la validation de domaine basée sur CNAME et à la création de nouveaux domaines/profils d’ici le 15 août 2025 .. Les clients sont recommandés d’utiliser des certificats TLS managés avec des références SKU AFD Standard et Premium pour de nouveaux domaines personnalisés.
Q : Qu’est-ce que la validation du contrôle de domaine ?
La validation de contrôle de domaine (DCV) est un processus critique utilisé pour vérifier qu’une entité demandant un certificat TLS/SSL a un contrôle légitime sur le ou les domaines répertoriés dans le certificat.
Q : DigiCert retire-t-il la validation du contrôle de domaine CNAME ?
Non. Seule cette méthode de validation CNAME spécifique propre aux services Azure est mise hors service. La méthode DCV basée sur CNAME utilisée par les clients DigiCert, comme celle décrite pour les certificats OV/EV DigiCert et les certificats DV n’est pas affectée.
Seul Azure est affecté par cette modification.
Q : Pourquoi Microsoft migre-t-il vers les racines DigiCert Global Root G2 et G3 ?
Cette modification s’aligne sur les normes du secteur et les exigences de navigateur à venir. Le 15 avril 2026, Mozilla et Chrome se méfieront de l’autorité de certification DigiCert Global Root. Pour maintenir l’approbation, tous les certificats TLS managés passent à DigiCert Global Root G2 et DigiCert Global Root G3 avant cette date. Pour plus d’informations, consultez les mises à jour du certificat d’autorité de certification racine et intermédiaire DigiCert 2023.
Q : Pourquoi le certificat EKU d’authentification client est-il supprimé ?
Il s’agit d’un changement à l’échelle de l'industrie piloté par le Chrome Trusted Root Program. Chrome limite les certificats TLS à l’authentification du serveur pour améliorer la sécurité et la conformité. Pour plus d’informations, consultez Abandon de l'EKU d'authentification client des certificats TLS publics DigiCert.