2020 年 3 月 24 日星期二,Microsoft 发布了对 Microsoft 受信任根证书计划的计划内更新。
此版本将添加以下根(CA \ 根证书 \ SHA-1 指纹):
- Microsoft \ Microsoft EV ECC Root Certificate Authority 2017 \ 6B1937ABFD64E1E40DAF2262A27857C015D6228D
- Microsoft \ Microsoft EV RSA Root Certificate Authority 2017 \ ADA06E72393CCBE873648CF122A91C35EF4C984D
- Agence Nationale de Certification Electronique (ANCE) \ TunTrust Root CA \ CFE970840FE0730F9DF60C7F2C4BEE2046349CBB
此版本将为以下根删除 NotBefore 状态:
- Red Abogacía \ ACA ROOT \ 496592B305707386CC5F3CDB259AE66D7661FCA
此版本将为以下根添加代码签名 EKU:
- IdenTrust \ IdenTrust Commercial Root CA 1 \ DF717EAA4AD94EC9558499602D48DE5FBCF03A25
注意
- 在 Windows 10 中,我们可以使用“NotBefore”或“Disable”属性来停止信任根或 EKU,这两个属性都使我们可以删除根证书的某些功能而不删除全部功能。 这些功能在 Windows 10 之前的版本中不可用。 早期版本的 Windows 将不受此更改影响。
- NotBefore 日期和 Disable 日期设置为发布月份的第一天。 这意味着所有在 3 月 1 日后颁发的证书将受影响。
- 可从以下网址下载并测试更新包:https://aka.ms/CTLDownload
- 对于 Microsoft 受信任根证书计划,证书信任列表 (CTL) 的签名已从双重签名 (SHA-1/SHA-2) 更改为仅 SHA-2。 客户无需执行任何操作。 有关详细信息,请访问:https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus