Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Azure oferece uma solução TLS gerenciada abrangente integrada a vários serviços da Microsoft. Essa funcionalidade inclui certificados de servidor TLS gerenciados para domínios personalizados do cliente, fornecidos pela DigiCert.
Como resultado da evolução dos padrões de conformidade do setor, dos requisitos de segurança e das alterações no ciclo de vida da PKI, essa oferta passará por várias atualizações importantes em 2025 e 2026 que afetarão os clientes que utilizam esse recurso.
Atualizações de PKI
A partir do final de 2025, o Azure começou a atualizar sua solução TLS gerenciada para se alinhar aos próximos requisitos do navegador. Essas alterações afetam todos os certificados TLS gerenciados emitidos para os seguintes serviços do Azure:
- Azure Front Door (AFD) e CDN Classic
- Azure Front Door Standard/Premium SKU
- Gerenciamento de API do Azure
- Serviço de Aplicativo do Azure
- Aplicativos de Contêiner do Azure
- Aplicativos Web Estáticos do Azure
Principais alterações
Esta atualização inclui duas alterações importantes:
Novas autoridades de certificação raiz e subordinadas (CAs):
- Todos os certificados TLS gerenciados migrarão de autoridades de certificação (CAs) em DigiCert Global Root CA para CAs em DigiCert Global Root G2 e DigiCert Global Root G3. Essa transição garante a conformidade com os requisitos de programa raiz confiável do navegador.
Remoção da EKU de Autenticação de Cliente
- Esses novos CAs não darão suporte à autenticação do cliente de acordo com os requisitos de programa raiz confiável do navegador. Todos os certificados TLS gerenciados sob as novas Autoridades Certificadoras incluirão apenas o Uso de Chave Estendida (EKU) de Autenticação do Servidor.
Impacto potencial do cliente
Para se preparar para a alteração, é importante saber como as alterações podem afetar os clientes.
Pinagem de certificado
- Se você vincula certificados ou chaves públicas, deverá atualizar seus conjuntos de vinculação para incluir as novas raízes e chaves intermediárias.
- A fixação estática é altamente desencorajada devido ao risco operacional.
Autenticação do cliente
- Se sua aplicação depende da EKU de Autenticação de Cliente em certificados públicos, você deve atualizar sua configuração para usar certificados de outras ACs.
- Certificados TLS gerenciados só darão suporte à EKU de Autenticação de Servidor.
Validação do domínio
A partir do final de 2025, o DigiCert está fazendo a transição para uma nova plataforma de DCV (validação de controle de domínio) de software livre (OSS) projetada para melhorar a transparência e a responsabilidade nos processos de validação de domínio. A DigiCert não dará mais suporte ao fluxo de trabalho herdado de DCV por Delegação CNAME para validação de controle de domínio nos serviços do Azure especificados.
Consequentemente, esses serviços do Azure introduzirão um processo aprimorado de validação de controle de domínio, com o objetivo de acelerar significativamente a validação de domínio e abordar vulnerabilidades importantes na experiência do usuário.
Essa alteração não afeta o processo padrão de validação cruzada de registro CNAME (CNAME DCV) para clientes da DigiCert, onde a validação utiliza um valor aleatório no registro CNAME. Apenas este fluxo de trabalho de validação, anteriormente utilizado pela Microsoft, será desativado.
Aviso
Os clientes que não atualizaram suas configurações para estarem em conformidade com as alterações do TLS gerenciado sofrerão uma interrupção do serviço caso não atualizem a configuração.
- Uma interrupção é garantida quando o certificado atual expira.
- Uma interrupção poderá ocorrer se o certificado for revogado.
No caso de uma revogação, os certificados devem ser revogados dentro de 24 horas, conforme exigido pelos Requisitos de Linha de Base do Fórum de Autoridade de Certificação/Navegador, deixando muito pouco tempo para responder. Os clientes devem atualizar suas configurações com urgência para evitar interrupções.
Perguntas frequentes
P: O suporte para domínios personalizados está sendo desativado?
Não. O recurso tem muito suporte e, de fato, está recebendo várias atualizações importantes que melhoram a experiência geral do usuário.
Observação
As SKUs AFD classic e CDN Classic, que estão caminhando para a obsolescência, estão retirando o suporte para adicionar novos domínios personalizados. Para obter mais informações, consulte Azure Front Door (clássico) e CDN do Azure do Microsoft Classic SKU que encerra a validação de domínio baseada em CNAME e novas criações de domínio/perfil até 15 de agosto de 2025. É recomendável que os clientes usem certificados TLS gerenciados com SKUs Padrão e Premium do AFD para novos domínios personalizados.
P: O que é a validação de controle de domínio?
A DCV (Validação de Controle de Domínio) é um processo crítico usado para verificar se uma entidade que solicita um certificado TLS/SSL tem controle legítimo sobre os domínios listados no certificado.
P: DigiCert está desativando a validação do controle de domínio CNAME?
Não. Somente esse método de validação CNAME específico exclusivo para os serviços do Azure está sendo desativado. O método CNAME DCV usado pelos clientes DigiCert, como o descrito para certificados OV/EV digiCert e certificados DV não é afetado.
Somente o Azure é afetado por essa alteração.
P: Por que a Microsoft está migrando para as raízes DigiCert Global Root G2 e G3?
Essa alteração se alinha aos padrões do setor e aos requisitos futuros do navegador. Em 15 de abril de 2026, Mozilla e Chrome deixarão de confiar na DigiCert Global Root CA. Para manter a confiança, todos os certificados TLS gerenciados serão movidos para DigiCert Global Root G2 e DigiCert Global Root G3 antes desta data. Para obter mais informações, consulte as atualizações dos certificados de Autoridade de Certificação raiz e intermediária da DigiCert 2023.
P: Por que a EKU de Autenticação de Cliente está sendo removida?
Essa é uma alteração em todo o setor impulsionada pelo Programa Raiz Confiável do Chrome. O Chrome está restringindo certificados TLS à autenticação do servidor para melhorar a segurança e a conformidade. Para obter mais informações, consulte Descontinuação do EKU de autenticação de cliente de certificados SSL públicos da DigiCert.