Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Microsoft Azure oferece uma solução TLS gerida abrangente, integrada com vários serviços Microsoft. Esse recurso inclui certificados de servidor TLS gerenciados para domínios personalizados do cliente, fornecidos pela DigiCert.
Como resultado da evolução dos padrões de conformidade do setor, dos requisitos de segurança e das alterações no ciclo de vida da PKI, esta oferta passará por várias atualizações importantes em 2025 e 2026 que irão afetar os clientes que utilizam esta funcionalidade.
Atualizações da PKI
A partir do final de 2025, a Azure começou a atualizar a sua solução TLS gerida para se alinhar com os requisitos futuros dos navegadores. Estas alterações afetam todos os certificados TLS geridos emitidos para os seguintes serviços Azure:
- Azure Front Door (AFD) e CDN Classic
- Azure Front Door Standard/Premium SKU
- Gestão de API do Azure
- Serviço de Aplicações do Azure
- Azure Container Apps
- Aplicações Web Estáticas do Azure
Principais mudanças
Esta atualização inclui duas alterações principais:
Novas Autoridades Certificadoras Raiz e Subordinadas (CAs):
- Todos os certificados TLS geridos migrarão das Autoridades Certificadoras (CAs) sob DigiCert Global Root CA para CAs sob DigiCert Global Root G2 e DigiCert Global Root G3. Esta transição assegura a conformidade com os requisitos do programa raiz confiável dos navegadores.
Remoção da EKU de Autenticação do Cliente
- Estas novas ACs não suportarão autenticação de cliente de acordo com os requisitos do programa de raiz confiável do navegador. Todos os certificados TLS geridos sob as novas CAs incluirão apenas o Server Authentication Extended Key Usage (EKU).
Potencial Impacto no Cliente
Para se preparar para a mudança, é importante saber como as alterações podem afetar os clientes.
Fixação de Certificados
- Se fixar certificados ou chaves públicas, deve atualizar os seus conjuntos de pins para incluir as novas raízes e intermédios.
- A fixação estática é fortemente desencorajada devido ao risco operacional.
Autenticação de cliente
- Se a sua aplicação depende do EKU de Autenticação do Cliente nos certificados públicos, deve atualizar a sua configuração para usar certificados de outras CAs.
- Os certificados TLS geridos apenas suportam o EKU de Autenticação do Servidor.
Validação de domínio
A partir do final de 2025, a DigiCert está a fazer a transição para uma nova plataforma de validação de controlo de domínio (DCV) de software open-source (OSS), concebida para aumentar a transparência e a responsabilização nos processos de validação de domínios. O DigiCert não dará mais suporte ao fluxo de trabalho DCV de delegação CNAME herdado para validação de controle de domínio nos serviços especificados do Azure.
Consequentemente, esses serviços do Azure introduzirão um processo de validação de controle de domínio aprimorado, com o objetivo de acelerar significativamente a validação de domínio e resolver as principais vulnerabilidades na experiência do usuário.
Essa alteração não afeta o processo padrão CNAME DCV para clientes DigiCert, onde a validação usa um valor aleatório no registro CNAME. Apenas este fluxo de trabalho para validação usado anteriormente pela Microsoft está sendo desativado.
Advertência
Os clientes que não atualizaram suas configurações para estar em conformidade com as alterações TLS gerenciadas terão uma interrupção de serviço se não atualizarem a configuração.
- É garantido que ocorrerá uma interrupção quando o certificado atual expirar.
- Pode ocorrer uma interrupção se o certificado for revogado.
Em caso de revogação, os certificados devem ser revogados no prazo de 24 horas, conforme exigido pelos Requisitos de Base do CA/Browser Forum, restando muito pouco tempo para responder. Os clientes devem atualizar suas configurações com urgência para evitar interrupções.
Perguntas frequentes
P: O suporte a domínios personalizados está a ser retirado?
Não. O recurso é muito suportado e, de fato, está recebendo várias atualizações importantes que melhoram a experiência geral do usuário.
Observação
Os SKUs AFD classic e CDN Classic, que estão a caminho da descontinuidade, vão retirar o suporte para a adição de novos domínios personalizados. Para obter mais informações, consulte Azure Front Door (clássico) e Azure CDN da Microsoft. O Classic SKU terminará a validação de domínio baseada em CNAME e a criação de novos domínios/perfis até 15 de agosto de 2025. Recomenda-se aos clientes que utilizem certificados TLS geridos com SKUs AFD Standard e Premium para novos domínios personalizados.
P: O que é a validação de controlo de domínio?
A Validação de Controlo de Domínio (DCV) é um processo crítico utilizado para verificar se uma entidade que solicita um certificado TLS/SSL tem controlo legítimo sobre o(s) domínio(s) listado(s) no certificado.
P: O DigiCert está a retirar a validação do controlo de domínio CNAME?
Não. Somente esse método de validação CNAME específico exclusivo dos serviços do Azure está sendo desativado. O método CNAME DCV usado pelos clientes DigiCert, como o descrito para certificados DigiCert OV/EV e certificados DV não é afetado.
Apenas o Azure é afetado por esta alteração.
P: Porque é que a Microsoft está a migrar para as raízes DigiCert Global Root G2 e G3?
Esta alteração está alinhada com os padrões da indústria e os futuros requisitos dos browsers. A 15 de abril de 2026, a Mozilla e o Chrome vão desconfiar da DigiCert Global Root CA. Para manter a confiança, todos os certificados TLS geridos passarão para DigiCert Global Root G2 e DigiCert Global Root G3 antes desta data. Para mais informações, consulte as atualizações dos certificados de CA raiz e intermédias do DigiCert 2023.
P: Porque é que o EKU de Autenticação do Cliente está a ser removido?
Esta é uma mudança em toda a indústria impulsionada pelo Chrome Trusted Root Program. O Chrome está a restringir os certificados TLS à autenticação de servidores para melhorar a segurança e a conformidade. Para mais informações, consulte Descontinuar o EKU de autenticação do cliente nos certificados públicos TLS da DigiCert.