Digitaalisen hyväksikäytön laajuuden kasvaessa, Microsoft esitteli neuvoa, että se ei enää kannata digitaalisia todistuksia alle 1024 bittiä voimaa. Elokuussa 2012 Microsoft julkaisi tietoturvakonsultoinnin, jonka mukaan se ei tue RSA-digitaalisia sertifikaatteja 9. lokakuuta 2012. Sinun täytyy päivitä RSA-digitaaliset sertifikaatit ennen tämän päivämäärän päättymispäivää, jolla estetään heikot todistukset (alle 1024 bittiä).
Useimmat digitaaliset sertifikaatit käyttävät RSA-algoritmia verkkosivustoille käytettyjen todistusten, digitaalisten allekirjoitusten ja tiedostojen salaamiseen. RSA-algoritmin vahvuus perustuu käytettyjen bittien määrään. RSA-sertifikaatit tunnistavat yksilön, organisaation ja tiedostojen olevan aitoja ja alkuperäisiä. Kun käytetään sähköposteja ja muita datatiedostoja käytettäessä, RSA-digitaaliset sertifikaatit sallivat tiedoston sisällön väärentämisen estämisen siinä mielessä, että ne varoittavat käyttäjiä alkuperäisten tiedostojen manipuloinnissa. Tähän asti useimmat varmenneviranomaiset antoivat digitaalisia sertifikaatteja alle 1024 bittiä. Koska verkko-omaisuuden hyödyntämisperusteita manipuloidaan ja hyödynnetään, ohjelmistoyhtiö sanoo, että on korkea aika IT-järjestelmänvalvojat päivittävät RSA-digitaaliset sertifikaatit suojatakseen käyttäjiltä minkäänlaisia haavoittuvuuksia.
Microsoft ilmoitti antavansa automaattisen päivityksen 9. lokakuuta 2012, joka päivittää käyttöjärjestelmät ja muut tuotteet, jotka eivät tunnista verkkosivustoja ja kohteita käyttämällä RSA-digitaalisia sertifikaatteja, joiden määrä on alle 1024 bittinen. Jotkut asiantuntijat sanovat, että tämä päätös on herättänyt Windows-käyttöjärjestelmän haavoittuvuutta haavoittuvilla liekillä Flame jne. Ym. Toiset sanovat, että Microsoft on työskennellyt tätä jo pitkään. Mikä tahansa syy, on aika pölyttää digitaaliset sertifikaatit ja päivittää ne vähintään 1024 bittiin. RSA-digitaalisen sertifikaatin vahvuus mitataan varmennetun yksityisen avaimen dekoodauksella. Suojauksen tehostamiseksi ihmisten on lisättävä todistusten voimaa.
Huomaa, että yhtiö ilmoittaa vähintään 1024 bittiä. Jotta suojaus olisi parempi ja vältettäisiin vastaavia päivityksiä lähitulevaisuudessa, suosittelemme, että käytät 2048 bittiä suurempia vahvuuksia.
Mitä tapahtuu, jos et päivitä RSA-digitaalisia sertifikaatteja?
Saat alla olevista tyypeistäsi virheviestejä ja pahempaa, sovelluksesi eivät välttämättä toimi oikein.
Ongelma tämän sivuston turvakatodistuksessa
Microsoft Security Advisoryn mukaan päivitys ei vaikuta Windows 8- ja Windows 2012 Server -palvelimiin, koska niillä on jo sisäänrakennettu ominaisuus estämään heikompia RSA-sertifikaatteja, joiden pituus on alle 1024 bittiä. Muut käyttöjärjestelmät ja ohjelmistot päivitetään 9. lokakuuta 2012 toimimaan vastaavasti - estämään heikot RSA-sertifikaatit. Seuraavassa on joitakin kysymyksiä, joita ihmiset voivat kohdata, jos RSA-digitaalisia varmenteita ei päivitetä (Kuten Microsoft KB: n artikkelissa 2661254 on mainittu):
- Sertifiointiviranomaiset eivät voi antaa RSA-sertifikaatteja, joissa on alle 1024 bittiä;
- Sertifikaatin myöntämismenettely (certsvc) ei käynnisty, jos RSA-digitaalinen varmenne on heikko;
- Internet Explorer estää pääsyn verkkosivustoihin, joilla on heikot RSA-digitaaliset varmenteet;
- Outlook 2010 ei pysty allekirjoittamaan sähköisesti sähköposteja ja käyttäjät eivät pysty salata sähköpostiviestejä. Jos sähköposti on jo salattu heikompaan RSA-sertifikaattiin, se voidaan edelleen purkaa päivityksen jälkeen.
- Jos käyttäjät saavat alle 1024 bittiä RSA-digitaalisen sertifikaatin allekirjoittaman sähköpostin, he saavat hälytyksen, jossa todistusta ei voida luottaa lähettämään signaaleja sähköpostin alkuperäisyyteen ja aitouteen;
- Outlook ei muodosta yhteyttä Exchange Serveriin alle 1024 bittiä sisältävien RSA-sertifikaattien kanssa. Käyttäjät näkevät varoituksen, jossa sanotaan, että sertifikaattia ei voida luottaa, joten se on estetty;
- Kun asennat heikompia RSA-sertifikaatteja, käyttäjät saavat varoituksen todistuksesta, joka estää käyttäjiä asentamasta "epäluotettavia" tuotteita;
- Neuvoa-antavan mukaan "Järjestelmäkeskuksen HP-UX PA-RISC -tietokoneet, jotka käyttävät RSA-sertifikaattia 512 bittisellä avaimen pituudella, aiheuttavat sykehälytyksiä ja kaikki tietokoneiden Operations Manager -valvonta epäonnistuu. Luodaan myös "SSL-varmennevirhe", jossa on kuvaus allekirjoitetusta varmennustarkistuksesta. "Klikkaa tästä saadaksesi lisätietoja HP UX PA RISC -tietokoneista, joissa on 512-bittinen avaimen pituus.
Microsoft TechNet -tiimellä on keskustelu yksityiskohtaisista kysymyksistä ja ehdotetuista toimista blogissaan.
Kuinka tunnistaa, jos RSA-sertifikaatti on heikko
KB-artikkeli 2661254 on ehdottanut seuraavaa menetelmää tarkistaa, onko sinulla heikkoja RSA-digitaalisia sertifikaatteja.
Kaikki RSA-digitaaliset sertifikaatit voidaan avata kaksoisnapsauttamalla sen kuvaketta. Varmenteen tietoja voidaan tarkastella Tiedot-välilehdellä, kun avaat digitaalisen varmenteen. Kentässä on oltava "Julkinen avain", joka osoittaa todistuksen käyttämien bittien määrän.
Muita ohjeita on lueteltu Advisory KB: n artikkelissa 2661254. Suosittelen, että voit tarkistaa myös CAPI2-menetelmän. Se auttaa sinua tunnistamaan kaikki varmenteet, joilla on heikko salausvoima. Menetelmä on kuvattu edellä linkitetyssä KB-artikkelissa 2661254.
Kiireellisiä sivustoja ja ohjelmia, joilla on heikot RSA-digitaaliset sertifikaatit
Vaikka se onkin suosittanut IT-järjestelmänvalvojia päivittämään RSA-digitaaliset sertifikaatit vähintään 1024 bittiä, Microsoft tarjoaa ratkaisun löytääkseen verkkosivustoja ja ohjelmia, joilla on heikot digitaaliset sertifikaatit. Se kertoo, että voi kestää jonkin aikaa ennen kuin kaikki järjestelmänvalvojat voivat päivittää sertifikaattiensa ja siten käyttäjät voivat käyttää määrätyllä ratkaisulla pääsy heikkoihin RSA-digitaalisiin sertifikaatteihin, vaikka verkkosivustot ja ohjelmat uusisivat ja päivittäisivät sertifikaattejaan. Kiertotavara sisältää Windowsin rekisterin muokkaamisen. Katso osio, Salli avaimen pituudet, jotka ovat alle 1024 bittiä käyttämällä rekisterin asetuksia kohdassa RESOLUUTUKSET linkitetyssä KB-artikkelissa, muokkaamalla Windows-rekisteriä käyttämällä certutil komento.
Huomaa, että on kaksi osaa: yksi sanoo RESOLUUTUKSET (monikko) ja toinen sanoo RESOLUTION (yksikkö). Sinun on tarkistettava RESOLUUTIONS (plural) -osiossa tehtävä kiertorata, jotta heikot RSA-digitaaliset varmenteet olisivat tilapäisiä.
Microsoft toimittaa päivityksiä KB: n artikkelin 2661254 RESOLUTION-osiossa. Nämä korjaustiedostot päivittävät järjestelmän lisäämään Windows-käyttöjärjestelmien vähimmäistasotasoja siten, että sinulla ei ole ongelmia RSA-digitaalisten sertifikaattien käyttämisessä. Tarkista korjaustiedostoja (mukaan lukien 32 tai 64 bit) mainittua käyttöjärjestelmää ennen niiden lataamista varmistaaksesi, että lataat oikean päivityksen.
Yhteenvetona 512-bittisten RSA-digitaalisten sertifikaattien ikä on ohi. Sinun on siirryttävä voimakkaampiin avainasioihin parantaakseen tietojasi hyödyntämättä.
