Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Azure biedt een uitgebreide beheerde TLS-oplossing die is geïntegreerd met verschillende Microsoft-services. Deze mogelijkheid omvat beheerde TLS-servercertificaten voor domeinen van klanten, geleverd door DigiCert.
Als gevolg van veranderende industrienalevingsstandaarden, beveiligingsvereisten en wijzigingen in de levenscyclus van PKI, zal dit aanbod in 2025 en 2026 verschillende belangrijke updates ondergaan die van invloed zijn op klanten die deze functie gebruiken.
PKI-updates
Vanaf eind 2025 is Azure begonnen met het bijwerken van de beheerde TLS-oplossing, zodat deze overeenkomt met toekomstige browservereisten. Deze wijzigingen zijn van invloed op alle beheerde TLS-certificaten die zijn uitgegeven voor de volgende Azure-services:
- Azure Front Door (AFD) en CDN Classic
- Azure Front Door Standard/Premium SKU
- Azure API Management
- Azure App Service
- Azure Container Apps - een dienst van Microsoft waarmee je containers kunt uitvoeren en beheren in de cloud.
- Azure Static Web Apps (Statische Web Apps van Azure)
Belangrijke wijzigingen
Deze update bevat twee belangrijke wijzigingen:
Nieuwe basis- en onderliggende certificeringsinstanties (CA's):
- Alle beheerde TLS-certificaten worden gemigreerd van certificeringsinstanties (CA's) onder DigiCert Global Root CA naar CA's onder DigiCert Global Root G2 en DigiCert Global Root G3. Deze overgang zorgt voor naleving van de vereisten voor het vertrouwde basisprogramma van de browser.
Verwijderen van clientverificatie-EKU
- Deze nieuwe CA's bieden geen ondersteuning voor clientverificatie in overeenstemming met de vereisten voor het vertrouwde basisprogramma van de browser. Alle beheerde TLS-certificaten onder de nieuwe CA's bevatten alleen het EKU (Server Authentication Extended Key Usage).
Mogelijke impact op de klant
Om de wijziging voor te bereiden, is het belangrijk om te weten hoe de wijzigingen van invloed kunnen zijn op klanten.
Certificaat vastmaken
- Als u certificaten of publieke sleutels pint, moet u uw pinningsets updaten om de nieuwe root- en intermediate-certificaten op te nemen.
- Het statisch vastzetten wordt sterk afgeraden vanwege operationeel risico.
Clientverificatie
- Als uw toepassing afhankelijk is van de clientverificatie-EKU in openbare certificaten, moet u uw configuratie bijwerken voor het gebruik van certificaten van andere CA's.
- Beheerde TLS-certificaten ondersteunen alleen de EKU serververificatie.
Domeinvalidatie
Vanaf eind 2025 gaat DigiCert over naar een nieuw OSS-platform (OpenSource Software Domain Control Validation) dat is ontworpen om transparantie en verantwoordelijkheid in domeinvalidatieprocessen te verbeteren. DigiCert biedt geen ondersteuning meer voor de verouderde DCV-werkstroom voor CNAME-delegatie voor domeinbeheervalidatie in de opgegeven Azure-services.
Daarom introduceren deze Azure-services een uitgebreid validatieproces voor domeinbeheer, met als doel de domeinvalidatie aanzienlijk te versnellen en belangrijke beveiligingsproblemen in de gebruikerservaring aan te pakken.
Deze wijziging heeft geen invloed op het standaard CNAME DCV-proces voor DigiCert-klanten, waarbij validatie gebruikmaakt van een willekeurige waarde in de CNAME-record. Slechts deze werkstroom voor validatie die eerder door Microsoft is gebruikt, wordt buiten gebruik gesteld.
Waarschuwing
Klanten die hun configuraties niet hebben bijgewerkt om te voldoen aan de beheerde TLS-wijzigingen, hebben een servicestoring als ze de configuratie niet bijwerken.
- Er is gegarandeerd een storing opgetreden wanneer het huidige certificaat verloopt.
- Er kan een storing optreden als het certificaat wordt ingetrokken.
In geval van intrekking moeten certificaten binnen 24 uur worden ingetrokken, zoals vereist door de basislijnvereisten voor ca/browserforums, waardoor er weinig tijd is om te reageren. Klanten moeten hun configuraties met urgentie bijwerken om onderbrekingen te voorkomen.
Veelgestelde vragen
Q: Wordt ondersteuning voor aangepaste domeinen beëindigd?
Nee. De functie wordt zeer veel ondersteund en ontvangt in feite verschillende belangrijke updates die de algehele gebruikerservaring verbeteren.
Opmerking
Klassieke AFD- en CDN Classic-SKU's, die zich op het pad naar afschaffing bevinden, bieden geen ondersteuning meer voor het toevoegen van nieuwe aangepaste domeinen. Zie Azure Front Door (klassiek) en Azure CDN van de klassieke Microsoft-SKU die op CNAME gebaseerde domeinvalidatie beëindigt en nieuwe domein-/profielcreaties tegen 15 augustus 2025 voor meer informatie. Klanten worden aangeraden beheerde TLS-certificaten te gebruiken met AFD Standard- en Premium-SKU's voor nieuwe aangepaste domeinen.
V: Wat is validatie van domeinbeheer?
Domain Control Validation (DCV) is een kritiek proces dat wordt gebruikt om te controleren of een entiteit die een TLS/SSL-certificaat aanvraagt, legitieme controle heeft over de domeinen die in het certificaat worden vermeld.
V: Wordt de validatie van CNAME-domeinbeheer door DigiCert buiten gebruik gesteld?
Nee. Alleen deze specifieke CNAME-validatiemethode die uniek is voor Azure-services, wordt buiten gebruik gesteld. De CNAME DCV-methode die wordt gebruikt door DigiCert-klanten, zoals de methode die wordt beschreven voor DigiCert OV/EV-certificaten en DV-certificaten , wordt niet beïnvloed.
Alleen Azure wordt beïnvloed door deze wijziging.
V: Waarom migreert Microsoft naar de DigiCert Global Root G2 en G3 rootcertificaten?
Deze wijziging komt overeen met industriestandaarden en toekomstige browservereisten. Op 15 april 2026 wantrouwen Mozilla en Chrome de DigiCert Global Root CA. Om de vertrouwensrelatie te behouden, worden alle beheerde TLS-certificaten vóór deze datum verplaatst naar DigiCert Global Root G2 en DigiCert Global Root G3 . Zie DigiCert-basis- en tussenliggende CA-certificaatupdates 2023 voor meer informatie.
V: Waarom wordt de EKU clientverificatie verwijderd?
Dit is een branchebrede wijziging die wordt aangestuurd door het vertrouwde Chrome-basisprogramma. Chrome beperkt TLS-certificaten tot serververificatie om de beveiliging en naleving te verbeteren. Zie Sunsetting the client authentication EKU from DigiCert public TLS certificates(SKU) voor meer informatie.