Date de publication : 26 avril 2021
Microsoft a déjà annoncé que le contenu signé numériquement à l’aide de certificats SHA-1 (Secure Hash Algorithm 1) est mis hors service afin de prendre en charge l’évolution des normes de sécurité du secteur. Cela est conforme à nos efforts continus pour adopter l’algorithme de hachage sécurisé 2 (SHA-2), qui répond mieux aux exigences de sécurité modernes et offre des protections supplémentaires contre les vecteurs d’attaque courants.
SHA-1 est un algorithme de hachage de chiffrement hérité qui n’est plus considéré comme sécurisé. L’utilisation de l’algorithme de hachage SHA-1 dans les certificats numériques peut permettre à un attaquant d’usurper du contenu, d’effectuer des attaques par hameçonnage ou d’effectuer des attaques de l’intercepteur.
L’équipe .NET prend des mesures qui affecteront les versions et mises à jour du .NET Framework précédemment fournies actuellement disponibles en téléchargement à partir de Microsoft. Certaines versions de .NET Frameworks détaillées ci-dessous ne seront pas prises en charge et supprimées de la liste du centre de téléchargement. Cela n’affecte pas les clients prenant les dernières mises à jour via Windows Update. Ils disposent déjà du dernier .NET Framework 4.8 et aucune autre action n’est nécessaire.
Bien que nous anticipons un impact minimal, si vous êtes un éditeur de logiciels indépendant et que vous vous appuyez sur une version non prise en charge, vous devrez retester votre logiciel avec la dernière version prise en charge. Si vous êtes administrateur informatique qui gère des machines qui ne sont pas automatiquement corrigées via Windows Update (WU) ou Windows Server Update Services (WSUS), vous devez mettre à niveau les machines vers une version prise en charge du runtime .NET Framework. Il n’est pas nécessaire que le code source des applications soit reconstruit pour cibler la version la plus récente. Dans la plupart des cas, vous devez être en mesure d’exécuter votre application sur le runtime le plus récent sans aucune modification.
.NET Framework 1.0, 1.1, 2.0, 3.0, 3.5, 4.0, 4.5, 4.5.1
Ces versions de .NET Framework ne sont actuellement plus prises en charge conformément à la stratégie de cycle de vie publiée.
Tous les bundles, programmes d’installation, packages et mises à jour de ces versions seront supprimés du centre de téléchargement le 26 juillet 2021.
.NET Framework 3.5 SP1
.NET Framework 3.5 SP1 est fourni en tant que composant du système d’exploitation Windows à partir de Windows 7/Server 2008 R2. Sur les systèmes d’exploitation plus anciens comme Windows Server 2008, .NET Framework 3.5 SP1 est installé hors bande.
Les programmes d’installation signés SHA-2 sont en cours de génération et seront mis à disposition du .NET Framework 3.5 SP1 à utiliser sur Windows Server 2008 SP2 dans les semaines à venir.
.NET Framework 4.6.2 – 4.8
.NET Framework 4.6.2 à 4.8 sont actuellement pris en charge. Des programmes d’installation signés SHA-2 sont disponibles pour ces versions.
.NET Framework 4.5.2 – 4.6.1
Bien que .NET Framework 4.5.2 à 4.6.1 soient actuellement pris en charge au moment de cette annonce, leur utilisation est extrêmement faible. Afin de répondre aux besoins de sécurité de nos clients avec les ressources dont nous disposons, .NET 4.5.2 à 4.6.1 sera pris en charge pendant 12 mois, jusqu’au 26 avril 2022. Après cette date, ces versions de produit ne seront plus prises en charge*, et tous les bundles, programmes d’installation, packages et mises à jour de ces versions seront supprimés de la liste du centre de téléchargement.
*Windows 10 Entreprise LTSC 2015 fourni avec .NET Framework 4.6 intégré au système d’exploitation. Cette version du système d’exploitation est une version de canal de maintenance à long terme (LTSC). Nous continuerons à prendre en charge .NET Framework 4.6 sur Windows 10 Entreprise LTSC 2015 jusqu’à la fin du support de la version du système d’exploitation, en octobre 2025.
Les clients qui utilisent actuellement .NET Framework 4.5.2, 4.6 ou 4.6.1 devront effectuer une mise à niveau vers une version d’exécution plus récente , au moins .NET Framework 4.6.2, mais de préférence .NET Framework 4.8.
.NET Framework 4.6.2 a été livré il y a près de 5 ans, et .NET Framework 4.8 il y a 2 ans. Les deux versions sont testées et des runtimes stables pour vos applications. .NET Framework 4.6.2 et 4.8 sont également largement déployés via Windows Update (WU). Si vous effectuez les dernières mises à jour, vous devez déjà disposer de .NET Framework 4.8 et aucune autre action ne doit être nécessaire.
Si vous utilisez une version antérieure de .NET Framework 4.x et que vous n’avez pas encore été mis à jour vers .NET Framework 4.6.2 ou une version ultérieure, les applications doivent uniquement mettre à jour le runtime sur lequel elles s’exécutent vers une version minimale de 4.6.2 pour rester prises en charge. Il n’est pas nécessaire que les applications soient reconstruites pour cibler la version la plus récente de .NET. Dans la plupart des cas, vous devez être en mesure d’exécuter votre application sur le runtime le plus récent sans aucune modification. Nous vous recommandons de vérifier que les fonctionnalités de votre application ne sont pas affectées lors de l’exécution sur la version plus récente du runtime avant de procéder au déploiement en production.
Si vous utilisez actuellement .NET Framework 4.5.2 – 4.6.1, ces ressources peuvent vous être utiles :
Nous nous engageons à vous aider à garantir que vos applications fonctionnent sur les dernières versions de nos logiciels. Si vous avez des questions qui restent sans réponse, nous sommes là pour vous aider. Vous devez vous engager avec Support Microsoft par le biais de vos canaux habituels pour une résolution.
En outre, si vous rencontrez des problèmes de compatibilité ou d’application lors de la transition vers .NET Framework 4.6.2 ou version ultérieure, il existe App Assure. Nous vous aiderons à résoudre les problèmes de compatibilité sans frais supplémentaires. Vous pouvez contacter App Assure pour obtenir un support de correction ou par e-mail si vous rencontrez des problèmes lors de l’envoi de votre demande (ACHELP@microsoft.com).
Si vous avez des questions qui ne sont pas abordées dans ce document, lisez ce FAQ.
