A digitális kizsákmányolás hatókörének növekedésével, Microsoft kiderült, hogy egy 1024 bitesnél kisebb digitális tanúsítványt nem fog szóba hozni. 2012 augusztusában a Microsoft biztonsági tanácsadást adott ki, hogy nem támogatja az RSA digitális tanúsítványait október 9-től 2012. Neked kell frissítse az RSA digitális tanúsítványait a dátumot megelőzően a gyenge bizonyítványok (1024 bit alatti) blokkolására szolgáló határidő.
A legtöbb digitális tanúsítvány RSA algoritmust alkalmaz a webhelyekhez használt tanúsítványokra, a fájlok digitális aláírására és titkosítására. Az RSA algoritmus ereje az alkalmazott bitek számán alapul. Az RSA-tanúsítványok azonosítják az egyéneket, a szervezeteket és a fájlokat hitelesnek és eredetinek. Az e-mailek és más típusú adatfájlok használatakor az RSA digitális tanúsítványai lehetővé teszik a fájl tartalmának manipulálását, mivel azok az eredeti fájlok manipulálása esetén figyelmeztetik a felhasználókat. Eddig a legtöbb hitelesítő hatóság (CA) kevesebb mint 1024 bites digitális tanúsítványt adott ki. Az online eszközök manipulálásának és kihasználásának alapját képezve a szoftvergyártó azt mondja, hogy az IT adminisztrátorok frissítik RSA digitális tanúsítványaikat, hogy megvédjék a felhasználókat bármilyen sérülékenységtől.
A Microsoft azt mondta, hogy automatikus frissítést fog biztosítani 2012. október 9 amely frissíti az operációs rendszereket és más termékeket, és nem ismeri fel a weboldalakat és elemeket az RSA digitális tanúsítványok használatával, 1024 bitesnél kisebb erővel. Egyes szakértők szerint ezt a döntést a Windows operációs rendszerű tartományok kiaknázása okozta a Flame stb. Rosszindulatú programjai miatt. Mások azt mondják, hogy a Microsoft már hosszú ideje dolgozik. Bármi legyen is az ok, itt az ideje, hogy levegye a digitális tanúsítványokat, és frissítse őket legalább 1024 bit erejéig. Az RSA digitális tanúsítvány erejét a tanúsítvány privát kulcsának dekódolásához szükséges idővel mérik. A jobb védelem érvényesítéséhez az embereknek több erejét kell hozzáadniuk a tanúsítványokhoz.
Ne feledje, hogy a cég legalább 1024 bitet állít fel. A jobb védelem és a közeljövőben bekövetkező hasonló frissítések elkerülése érdekében azt ajánlja, hogy 2048 bit feletti erősségűre kerüljenek.
Mi történik, ha nem frissíti az RSA digitális tanúsítványokat?
Az alábbiakban ismertetett típusú hibaüzeneteket kapja, és még rosszabb, az alkalmazásai nem működnek megfelelően.
Probléma van a webhely biztonsági tanúsítványával
A Microsoft Security Advisory szerint a frissítés nem érinti a Windows 8-at és a Windows 2012 Server-t, mivel már beépített funkciójuk van arra, hogy blokkolja a gyenge, 1024 bitesnél régebbi RSA tanúsítványokat. Az egyéb operációs rendszerek és szoftverek 2012. október 9-én aktualizálásra kerülnek, ennek megfelelően - a gyenge RSA tanúsítványok blokkolására. Az alábbiakban felsorolunk néhány olyan problémát, amellyel az emberek szembesülhetnek, ha az RSA digitális tanúsítványok nem frissülnek (A Microsoft KB cikkében említett 2661254 cikk):
- A tanúsító hatóságok nem adhatnak ki 1024 bitesnél kisebb RSA-tanúsítványokat;
- A hitelesítési engedélyezési eljárás (certsvc) nem indul el, ha az RSA digitális tanúsítvány gyenge;
- Az Internet Explorer letiltja a gyenge RSA digitális tanúsítványokkal rendelkező webhelyekhez való hozzáférést;
- Az Outlook 2010 nem tudja digitálisan aláírni az e-maileket, és a felhasználók nem képesek titkosítani az e-maileket. Ha az e-mailt már gyengébb RSA-tanúsítvány használatával már titkosította, akkor a frissítés után is visszafejthető;
- Ha a felhasználók 1024 bitesnél kevesebb RSA digitális tanúsítvánnyal aláírt e-mailt kapnak, figyelmeztetést kapnak arról, hogy a tanúsítvány nem bízható - jeleket küld az e-mail eredetiségéről és eredetiségéről;
- Az Outlook nem csatlakozik az Exchange Serverhez, 1024 bitesnél kevesebb RSA tanúsítvánnyal. A felhasználók figyelmeztetést kapnak arról, hogy a tanúsítvány nem bízható meg, ezért blokkolt;
- A gyenge RSA tanúsítványt szállító termékek telepítésekor a felhasználók figyelmeztetést kapnak arról a tanúsítványról, amely elriasztja a felhasználókat a "megbízhatatlan" termék telepítéséhez;
- A tanácsadó szerint "Rendszerközpont A HP-UX PA-RISC számítógépek, amelyek 512 bites kulcshosszal rendelkező RSA tanúsítványt használnak, szívverés riasztásokat generálnak és a számítógépek Operations Manager felügyelete meghiúsul. Az "aláírt tanúsítvány-ellenőrzés" "SSL-tanúsítvány-hiba" is keletkezik. "Kattintson ide további információért a HP UX PA RISC számítógépekről, amelyek 512 bit hosszúságúak.
A Microsoft TechNet csapata megvitatja a részletes FAQ-t és a javasolt tevékenységeket a blogján.
Hogyan kell észlelni, ha az RSA tanúsítvány gyenge
A 2661254-es számú KB-dokumentum a következő módszert javasolta annak ellenőrzésére, hogy gyenge RSA digitális tanúsítványokat tartalmaz-e.
Az összes RSA digitális tanúsítványt dupla kattintással lehet megnyitni. A tanúsítvány részleteit megtekintheti a Részletek lapon, miután megnyitotta a digitális tanúsítványt. A "Nyilvános kulcs" feliratú mezőnek tartalmaznia kell a tanúsítvány által használt bitek számát.
A 2661254. számú Advisory KB cikkében vannak más módszerek is. Javasoljuk, hogy ellenőrizze a CAPI2 módszert is. Segítséget nyújt azonosítók azonosításához, amelyek gyenge titkosítási erővel rendelkeznek. A módszert a fenti 2661254 számú KB-cikk írja le.
Megoldás a weboldalak és programok gyenge GSA tanúsítványokkal való eléréséhez
Bár erősen tanácsolta az informatikai adminisztrátoroknak, hogy legalább 1024 bites RSA digitális tanúsítványokat frissítsenek, a Microsoft megoldást nyújt a gyenge digitális tanúsítványokkal rendelkező webhelyek és programok eléréséhez. Azt mondja, hogy az adminisztrátorok frissíthetik tanúsítványaikat, ezért a felhasználók az előírt megoldás segítségével hozzáférhetnek a gyenge RSA digitális tanúsítványokhoz, még akkor is, ha webhelyek és programok megújítják és frissítik a tanúsítványokat. A megoldás a Windows Registry szerkesztését jelenti. Olvassa el a 1024 bitesnél kisebb kulcshosszúságú szakaszok használatát a KBA cikkében található RESOLUCIÓK című regisztrációs beállítások használatával a Windows rendszerleíró adatbázis használatával. certutil parancs.
Vegyük észre, hogy két részből áll: az egyik azt mondja, hogy "RESOLUTIONS (plural)", a másik pedig "RESOLUTION" (egyszemélyes). Meg kell nézni a RESOLUCIONS (plural) szakaszt a megoldás érdekében, hogy a gyenge RSA digitális tanúsítványok ideiglenesen lehessenek.
A Microsoft frissítéseket nyújt a 2661254 KB. Számú cikk RESOLUTION című részében. Ezek a javítások frissítik a rendszert a Windows operációs rendszerek minimális titkosítási szintjeinek növelése érdekében, hogy ne szembesüljenek az erős RSA digitális tanúsítványokhoz való hozzáféréssel. Ellenőrizze az említett operációs rendszert a javítások (32 vagy 64 bites) ellen, mielőtt letölti őket, hogy megbizonyosodjon róla, hogy a megfelelő frissítést töltötte le.
Összefoglalva, az 512 bites RSA digitális tanúsítványok életkora vége. Az erősebb kulcsfontosságú erősségre kell lépnie, hogy jobban védje az adatok kiaknázását.
