Obligation de prise en charge de la signature du code SHA-2 2019 pour Windows et WSUS

S’applique à : Windows 7 Service Pack 1Windows Server 2008 R2 Service Pack 1Windows Server 2008 Service Pack 2

Résumé


Pour protéger votre sécurité, les mises à jour du système d'exploitation Windows sont doublement signées à l'aide des algorithmes de hachage SHA-1 et SHA-2 pour authentifier que les mises à jour proviennent directement de Microsoft et n'ont pas été modifiées pendant la livraison. En raison des faiblesses de l'algorithme SHA-1 et pour s'aligner sur les normes de l'industrie, Microsoft ne signera que les mises à jour Windows utilisant exclusivement l'algorithme SHA-2, plus sécurisé.

Les clients exécutant d'anciennes versions de systèmes d'exploitation (Windows 7 SP1, Windows Server 2008 R2 SP1 et Windows Server 2008 SP2) devront avoir installé le support de signature de code SHA-2 sur leurs appareils d'ici à juillet 2019. Aucun appareil incompatible avec SHA-2 ne pourra bénéficier des mises à jour Windows après juillet 2019. Pour vous aider à vous préparer à ce changement, nous allons lancer la compatibilité avec la signature SHA-2 en 2019. Windows Server Update Services (WSUS) 3.0 SP2 recevra la compatibilité SHA-2 pour fournir correctement les mises à jour signées SHA-2. Reportez-vous à la section Mises à jour des produits pour connaître le calendrier de migration.

Informations générales


L'algorithme de hachage sécurisé 1 (SHA-1) a été développé comme fonction de hachage irréversible et est largement utilisé dans le cadre de la signature de code. Malheureusement, la sécurité de l'algorithme de hachage SHA-1 est devenue moindre au fil du temps en raison de faiblesses découvertes dans l'algorithme, des performances accrues des processeurs et de l'avènement du cloud computing. Des alternatives plus fortes telles que l'algorithme de hachage sécurisé 2 (SHA-2) sont maintenant fortement privilégiées car elles ne souffrent pas des mêmes problèmes. Pour plus d'informations sur la dépréciation de SHA-1, voir Algorithmes de hachage et de signature.

Calendrier de mise à jour des produits


À partir de début 2019, le processus de migration vers la compatibilité SHA-2 se fera par étapes, et la compatibilité sera fournie via des mises à jour autonomes.. Microsoft vise le calendrier suivant pour offrir la compatibilité SHA-2. Veuillez noter que l'échéancier ci-dessous est sujet à modifications. Nous mettrons à jour cette page au fur et à mesure du processus, et selon le besoin.

Date cible

Événement

Produits concernés

mardi 12 mars 2019

Mises à jour de sécurité autonomes KB4474419 et KB4490628 lancées pour introduire la compatibilité avec la signature de code SHA-2.

 

Windows 7 SP1,
Windows Server 2008 R2 SP1

mardi 12 mars 2019

Mise à jour autonome KB4484071 disponible dans le catalogue Windows Update pour WSUS 3.0 SP2 qui prend en charge les mises à jour de la signature SHA-2. Pour les clients utilisant WSUS 3.0 SP2, cette mise à jour devrait être installée manuellement au plus tard le 18 juin 2019.

WSUS 3.0 SP2

mardi 9 avril 2019

Mise à jour autonome KB4493730 introduisant la compatibilité avec la signature de code SHA-2 pour la pile de maintenance (SSU), publiée comme mise à jour de sécurité.

Windows Server 2008 SP2
mardi 14 mai 2019 Mise à jour de sécurité autonome KB4474419 publiée pour introduire la compatibilité avec la signature de code SHA-2. Windows Server 2008 SP2
mardi 11 juin 2019 Mise à jour de sécurité autonome KB4474419 publiée à nouveau pour ajouter la compatibilité manquante avec la signature de code MSI SHA-2.
 
Windows Server 2008 SP2
 
mardi 18 juin 2019 Les signatures des mises à jour Windows 10 passent d'une double signature (SHA-1/SHA-2) à SHA-2 uniquement. Aucune action client requise. Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019
mardi 18 juin 2019 Obligatoire : Pour les clients utilisant WSUS 3.0 SP2, KB4484071 doit être installée manuellement avant cette date pour permettre les mises à jour SHA-2.. WSUS 3.0 SP2

mardi 9 juillet 2019

Obligatoire : Les mises à jour pour les anciennes versions de Windows nécessiteront l'installation de la compatibilité avec la signature de code SHA-2. La compatibilitée publié en avril et mai (KB4493730 et KB4474419) seront nécessaires pour continuer à recevoir des mises à jour sur ces versions de Windows.

Les signatures des anciennes mises à jour Windows sont passées d'une double signature SHA-1/SHA-2 à SHA-2 seulement pour le moment.

Windows Server 2008 SP2
mardi 16 juillet 2019 Les signatures des mises à jour Windows 10 passent d'une double signature (SHA-1/SHA-2) à SHA-2 uniquement. Aucune action client requise.

Windows 10 1507,
Windows 10 1607,
Windows Server 2016,
Windows 10 1703

mardi 13 août 2019

Obligatoire : Les mises à jour pour les anciennes versions de Windows nécessiteront l'installation de la compatibilité avec la signature de code SHA-2. La compatibilité publiée en mars (KB4474419 et KB4490628) seront nécessaires pour continuer à recevoir des mises à jour sur ces versions de Windows.  Si vous disposez d'un appareil ou d'un ordinateur virtuel utilisant le démarrage EFI, veuillez consulter la section FAQ pour connaître les étapes supplémentaires permettant d'éviter les problèmes de démarrage de votre appareil.

Les signatures des anciennes mises à jour Windows sont passées d'une double signature SHA-1/SHA-2 à SHA-2 seulement pour le moment.

Windows 7 SP1,
Windows Server 2008 R2 SP1
mardi 10 septembre 2019 Les signatures des anciennes mises à jour Windows sont passées d'une double signature SHA-1/SHA-2 à SHA-2 uniquement. Aucune action client requise. Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2

Statut actuel


Windows 7 SP1 et Windows Server 2008 R2 SP1

Les mises à jour suivantes doivent être installées et l'appareil doit être redémarré avant d'installer un correctif cumulatif publié le 13 août 2019 ou après. Les mises à jour requises peuvent être installées dans n'importe quel ordre et n'ont pas besoin d'être réinstallées, sauf s'il existe une nouvelle version de la mise à jour requise.

  1. La dernière mise à jour de la pile de maintenance (SSU) (KB4490628). Si vous utilisez Windows Update, la dernière SSU vous sera proposée automatiquement. 
  2. La dernière mise à jour SHA-2 (KB4474419) publiée le 13 août 2019. Si vous utilisez Windows Update, la dernière mise à jour SHA-2 vous sera proposée automatiquement.
  3. Si vous utilisez le démarrage EFI sur votre appareil ou ordinateur virtuel (VM), vous devez également installer KB3133977. Actuellement, KB3133977 est nécessaire pour résoudre un problème connu lors de l'utilisation du démarrage EFI et doit être appliquée même si vous n'utilisez pas BitLocker. Pour plus d'informations à ce sujet, consultez la FAQ ci-dessous.

Important Vous devez redémarrer votre appareil après avoir installé toutes les mises à jour requises, avant d'installer un correctif cumulatif mensuel, une mise à jour de sécurité uniquement ou un aperçu du correctif cumulatif mensuel.

Windows Server 2008 SP2

Les mises à jour suivantes doivent être installées et l'appareil doit être redémarré avant d'installer tout correctif cumulatif publié le 9 juillet 2019 ou après. Les mises à jour requises peuvent être installées dans n'importe quel ordre et n'ont pas besoin d'être réinstallées, sauf s'il existe une nouvelle version de la mise à jour requise.

  1. La dernière mise à jour de la pile de maintenance (SSU) (KB4493730). Si vous utilisez Windows Update, la dernière SSU vous sera proposée automatiquement. 
  2. La dernière mise à jour de SHA-2 (KB4474419) publiée le 11 juin 2019. Si vous utilisez Windows Update, la dernière mise à jour SHA-2 vous sera proposée automatiquement.

Important Vous devez redémarrer votre appareil après avoir installé toutes les mises à jour requises, avant d'installer un correctif cumulatif mensuel, une mise à jour de sécurité uniquement, ou un aperçu du correctif cumulatif.

Foire Aux Questions


Informations générales, planification et prévention des problèmes

Résolution de problèmes