Pieaugot digitālās izmantošanas jomai, Microsoft iznāca ar padomu, ka tā vairs nedos ciparu sertifikātus, kuru izturība ir mazāka par 1024 bitiem. 2012. gada augustā Microsoft izdeva drošības konsultāciju, ka no 2012. gada 9. oktobra tas neatbalsta RSA ciparu sertifikātus. Tev vajag jauniniet savus RSA ciparsertifikātus pirms šī datuma, beigu datums, lai bloķētu vājos sertifikātus (mazāk nekā 1024 biti).
Lielākā daļa digitālo sertifikātu izmanto RSA algoritmu sertifikātiem, kas tiek izmantoti ar vietnēm, lai digitāli parakstītu un šifrētu failus. RSA algoritma stiprums ir balstīts uz izmantoto bitu skaitu. RSA sertifikāti identificē personu, organizāciju un failus kā autentiskus un oriģinālus. Lietojot kopā ar e-pasta ziņojumiem un cita veida datu failiem, RSA ciparsertifikāti ļauj novērst failu satura manipulēšanu tādā ziņā, ka viņi brīdinās lietotājus, ja manipulēsies ar oriģināliem failiem. Līdz šim lielākā daļa sertifikācijas iestāžu (CA) nodrošināja ciparsertifikātus ar mazāk nekā 1024 bitiem. Ņemot vērā manipulāciju un izmantoto tiešsaistes līdzekļu izmantošanu, programmatūras kompānija norāda, ka ir pēdējais laiks, kad IT administratori atjaunina savus RSA ciparsertifikātus, lai aizsargātu lietotājus no jebkāda veida neaizsargātības.
Microsoft teica, ka tā automātiski atjauninās 2012. gada 9. oktobris kas atjauninās operētājsistēmas un citus produktus, lai neatpazītu tīmekļa vietnes un vienumus, kas izmanto RSA ciparsertifikātus ar mazāku nekā 1024 bitu stiprumu. Daži eksperti apgalvo, ka šis lēmums ir pieņemts pēc operētājsistēmas Windows operētājsistēmas ekspluatācijas ar ļaunprātīgu programmatūru, kura ir tāda pati kā Flame utt. Citi saka, ka Microsoft jau ilgi strādā. Lai kāds būtu iemesls, ir pienācis laiks putekļiem no jūsu digitālajiem sertifikātiem un uzlabot tos ar vismaz 1024 bitu stiprumu. RSA ciparsertifikāta izturība tiek mērīta pēc tā laika, kas nepieciešams, lai atšifrētu sertifikāta privāto atslēgu. Lai nodrošinātu labāku aizsardzību, cilvēkiem ir jāpievieno vairāk sertifikātu.
Ņemiet vērā, ka uzņēmums minimāli ir 1024 biti. Lai nodrošinātu labāku aizsardzību un izvairītos no jebkādiem līdzīgiem atjauninājumiem tuvākajā nākotnē, iesakām izmantot stiprās puses virs 2048 bitiem.
Kas notiek, ja neveicat RSA ciparsertifikātu atjaunināšanu?
Jūs saņemsit zemāk redzamā tipa kļūdas ziņojumus un, sliktāk, jūsu programmas var nedarboties pareizi.
Pastāv problēma ar šīs vietnes drošības sertifikātu
Saskaņā ar Microsoft Security Advisory sniegto informāciju atjauninājums neietekmēs Windows 8 un Windows 2012 Server, jo tiem jau ir iebūvēta funkcija, lai bloķētu vājus RSA sertifikātus, kuru garums ir mazāks par 1024 bitiem. Citas operētājsistēmas un programmatūra tiks atjaunināti 2012. gada 9. oktobrī, lai attiecīgi rīkotos - lai bloķētu vājos RSA sertifikātus. Tālāk ir minēti daži jautājumi, ar kuriem cilvēki var saskarties, ja RSA ciparsertifikāti nav atjaunināti (kā minēts Microsoft KB raksta 2661254):
- Sertifikācijas iestādes nevar izsniegt RSA sertifikātus ar mazāk nekā 1024 bitiem;
- Sertifikācijas autorizācijas process (certsvc) nedarbosies, ja RSA ciparsertifikāts ir vājš;
- Internet Explorer bloķēs piekļuvi vietnēm ar vāju RSA ciparsertifikātu;
- Outlook 2010 nevarēs digitāli parakstīt e-pastus, un lietotāji nevarēs šifrēt e-pasta ziņojumus. Ja e-pasta ziņojums jau tika šifrēts, izmantojot vājāku RSA sertifikātu, pēc atjaunināšanas to joprojām var atšifrēt;
- Ja lietotāji saņem e-pasta ziņojumu, ko parakstījis RSA ciparsertifikāts, kas ir mazāks par 1024 bitiem, viņi saņems brīdinājumu, kurā teikts, ka sertifikātu nevar uzticēt - izsūtīt signālus par e-pasta oriģinalitāti un autentiskumu;
- Outlook neizveidos savienojumu ar Exchange Server ar RSA sertifikātiem mazāku par 1024 bitiem. Lietotāji redzēs brīdinājumu, kurā teikts, ka sertifikātu nevar uzticēties un tādējādi ir bloķēts;
- Instalējot produktus ar vāju RSA sertifikātu, lietotāji saņems brīdinājumu par sertifikātu, kas atturēs lietotājus instalēt "neuzticamu" produktu;
- Saskaņā ar Konsultāciju, "System Center HP-UX PA-RISC datoriem, kas izmanto RSA sertifikātu ar 512 bitu atslēgas garumu, tiks ģenerēti sirdsdarbības brīdinājumi un visi Operations Manager datoru pārraudzība neizdosies. Ar "SSL sertifikāta kļūdu" tiks izveidots arī apraksts "parakstīta sertifikāta verifikācija. "Noklikšķiniet šeit, lai iegūtu papildinformāciju par HP UX PA RISC datoriem ar 512 bitu atslēgas garumu.
Microsoft TechNet komanda ir apspriedusies par detalizētu FAQ un ierosinātajām darbībām savā emuārā.
Kā noteikt, ja RSA sertifikāts ir vājš
KB artikuls 2661254 piedāvā šādu metodi, lai pārbaudītu, vai jums ir kādi vāji RSA ciparsertifikāti.
Visus RSA ciparsertifikātus var atvērt, dubultklikšķinot uz tā ikonas. Sīkāka informācija par sertifikāciju var tikt apskatīta cilnē Informācija, kad atverat ciparsertifikātu. Jābūt laukam ar nosaukumu "Publiskā atslēga", kurā norādīts sertifikāta izmantoto bitu skaits.
Ir dažas citas metodes, kas minētas Konsultatīvajā KB rakstā 2661254. Es iesaku pārbaudīt arī CAPI2 metodi. Tas palīdzēs jums identificēt visus sertifikātus, kuriem ir vāja šifra stiprība. Šī metode ir aprakstīta iepriekš minētajā KB rakstā 2661254.
Risinājums piekļūt tīmekļa vietnēm un programmām ar vājām RSA digitālajiem sertifikātiem
Lai gan tā ir stingri ieteikusi IT administratoriem uzlabot savus RSA ciparsertifikātus ar vismaz 1024 bitiem, Microsoft piedāvā risinājumu, lai piekļūtu tīmekļa vietnēm un programmām, kurām ir vāji digitālie sertifikāti. Tas norāda, ka var paiet kāds laiks, pirms visi administratori var atjaunināt savus sertifikātus, un tādējādi lietotāji var izmantot paredzēto risinājumu, lai piekļūtu vājajiem RSA ciparsertifikātiem, pat ja tīmekļa vietnes un programmas atjauno un atjaunina savus sertifikātus. Risinājums ietver Windows reģistra rediģēšanu. Apskatiet sadaļu Atļaut atslēgas garumu, kas mazāks par 1024 bitiem, izmantojot saistīto KB rakstu, izmantojot REZULTĀTU reģistra iestatījumus, lai pielāgotu Windows reģistru, izmantojot certutil komandu
Ievērojiet, ka ir divas sadaļas: vienā teikts RESOLUTIONS (daudzskaitlī), bet otrā - REZOLŪCIJA (vienskaitlis). Lai atrisinātu vājus RSA digitālos sertifikātus temporarī, jums jāpārbauda risinājumu sadaļa REZOLŪCIJAS (daudzskaitlī).
Microsoft nodrošina atjauninājumus sadaļā KB RISINĀJUMS KB 2661254. Šo plāksteri atjaunina jūsu sistēmu, lai palielinātu minimālo šifrēšanas līmeni Windows operētājsistēmu diapazonā, tādējādi neradot problēmas ar piekļuvi spēcīgiem RSA ciparsertifikātiem. Pārbaudiet operētājsistēmu, kas minēta pret plāksteriem (ieskaitot 32 vai 64 bitu), pirms lejupielādējat tos, lai pārliecinātos, vai lejupielādējat pareizo atjauninājumu.
Rezumējot, 512 bitu RSA ciparu sertifikātu vecums ir beidzies. Lai uzlabotu aizsardzību pret datu izmantošanu, jums jāpārvietojas uz spēcīgākām galvenajām stiprām pozīcijām.
