Padidinus skaitmeninio naudojimo apimtį, Microsoft išėjo su patarimu, kad daugiau nebepriklauso skaitmeninių sertifikatų, kurių stiprumas mažesnis nei 1024 bitų. 2012 m. Rugpjūčio mėn. "Microsoft" išleido saugumo rekomendacijas, kad 2012 m. Spalio 9 d. Nepalaikys "RSA" skaitmeninių sertifikatų. Tau reikia atnaujinkite RSA skaitmeninius sertifikatus iki tos datos, kad būtų galima blokuoti silpnus sertifikatus (mažiau kaip 1024 bitų).
Daugelyje skaitmeninių sertifikatų naudojami RSA algoritmai, naudojami su svetainėmis, siekiant skaitmeniniu būdu pasirašyti ir šifruoti failus. RSA algoritmo stiprumas remiasi naudojamų bitų skaičiumi. RSA sertifikatai identifikuoja asmenį, organizaciją ir failus kaip autentiškus ir originalius. Naudojant el. Laiškus ir kitų tipų duomenų rinkmenas, RSA skaitmeniniai sertifikatai leidžia užkirsti kelią failų turinio klastojimui, taigi jie įspės vartotojus, jei manipuliuoti originaliais failais. Iki šiol dauguma sertifikavimo institucijų (CA) pateikė skaitmeninius sertifikatus mažiau nei 1024 bitų. Atsižvelgiant į manipuliavimo ir naudojimo internete naudojamo turto bazę, programinės įrangos kompanija teigia, kad IT administratoriai vėluoja atnaujinti savo RSA skaitmeninius sertifikatus, kad apsaugotų vartotojus nuo bet kokio pažeidžiamumo.
"Microsoft" teigė, kad ji automatiškai atnaujins 2012 m. Spalio 9 d kuris atnaujins operacines sistemas ir kitus produktus, kad neatpažintų svetainių ir elementų, naudojančių RSA skaitmeninius sertifikatus, kurių našumas yra mažesnis nei 1024 bitų. Kai kurie ekspertai teigia, kad šis sprendimas prasidėjo iš "Windows" operacinės sistemos pasirinkimo kenkėjiškos programinės įrangos "Like Flame" vardu ir tt Kiti teigia, kad "Microsoft" nuo to laiko dirbo. Kad ir kokia būtų priežastis, atėjo laikas dulkėms išimti iš savo skaitmeninių sertifikatų ir atnaujinti juos iki mažiausiai 1024 bitų. RSA skaitmeninio sertifikato stiprumas matuojamas pagal laiką, per kurį reikia ištrinti sertifikato privatųjį raktą. Siekiant užtikrinti geresnę apsaugą, žmonėms reikia pridėti daugiau galios sertifikatams.
Atkreipkite dėmesį, kad bendrovė nurodo mažiausiai 1024 bitų. Siekiant užtikrinti geresnę apsaugą ir artimiausioje ateityje išvengti bet kokių panašių atnaujinimų, rekomenduojama naudoti stipriąsias puses, viršijančias 2048 bitų.
Kas atsitinka, jei nenorite atnaujinti RSA skaitmeninių sertifikatų?
Gausite žemiau pateiktų tipų klaidų pranešimus ir, dar blogiau, jūsų programos gali neveikti tinkamai.
Yra šios svetainės saugumo sertifikato problema
Pasak "Microsoft Security Advisory", atnaujinimas neturės įtakos "Windows 8" ir "Windows 2012 Server", nes jie jau turi įmontuotą funkciją blokuoti silpnąsias RSA sertifikatus, kurių ilgis mažesnis nei 1024 bitai. Kitos operacinės sistemos ir programinė įranga bus atnaujintos 2012 m. Spalio 9 d., Kad atitinkamai veiktų - blokuoti silpnąsias RSA sertifikatus. Toliau pateikiama keletas klausimų, su kuriais susiduria žmonės, jei RSA skaitmeniniai sertifikatai nėra atnaujinami (kaip minėta Microsoft KB straipsnyje 2661254):
- Sertifikavimo institucijos negali išduoti RSA sertifikatų, turinčių mažiau kaip 1024 bitų;
- Sertifikavimo įgaliojimo procesas (certsvc) nebus paleistas, jei RSA skaitmeninis sertifikatas yra silpnas;
- "Internet Explorer" blokuoja prieigą prie svetainių, kuriose yra silpni RSA skaitmeniniai sertifikatai;
- "Outlook 2010" negalės skaitmeniniu būdu pasirašyti el. Laiškų, o vartotojai negalės šifruoti el. Laiškų. Jei el. Laiškas jau buvo užšifruotas naudojant silpnesnį RSA sertifikatą, jis gali būti iššifruotas po atnaujinimo;
- Jei vartotojai gauna elektroninį parašą, pasirašytą RSA skaitmeniniu sertifikatu, mažiau nei 1024 bitų, jie gaus perspėjimą, kuriame sakoma, kad sertifikatas negali būti patikimas - siunčiami pranešimai apie el. Pašto originalumą ir autentiškumą;
- "Outlook" nebus prijungtas prie "Exchange Server", o RSA sertifikatai bus mažesni nei 1024 bitų. Vartotojai pamatys perspėjimą, kuriame sakoma, kad sertifikatas negali būti patikimas ir todėl buvo užblokuotas;
- Nustatydami produktus, kuriuose yra silpni RSA sertifikatai, vartotojai gaus įspėjimą apie sertifikatą, kuris neleis vartotojams įdiegti "nepatikimų" produktų;
- Pasak patarėjo, "Sistemos centro HP-UX PA-RISC kompiuteriai, kuriuose naudojamas RSA sertifikatas su 512 bitų raktų ilgiu, generuoja įspėjimus apie širdies plakimą, o visi "Operations Manager" kompiuterių stebėsenos nepavyks. Taip pat bus sukurta "SSL sertifikato klaida" su aprašymu "pasirašytas sertifikato patvirtinimas"Spauskite čia, jei norite gauti daugiau informacijos apie HP UX PA RISC kompiuterius su 512 bitų raktų ilgiu.
"Microsoft TechNet" komanda aptarė išsamias DUK ir pasiūlytus veiksmus savo tinklaraštyje.
Kaip nustatyti, ar RSA sertifikatas yra silpnas
KB straipsnyje 2661254 siūlomas šis metodas, siekiant patikrinti, ar turite silpną RSA skaitmeninį sertifikatą.
Visi RSA skaitmeniniai sertifikatai gali būti atidaryti dukart spustelėdami jo piktogramą. Išsamią informaciją apie sertifikavimą galite peržiūrėti skirtuke Išsami informacija, kai atidarote skaitmeninį sertifikatą. Turėtų būti laukas, pažymėtas "Viešasis raktas", kuriame parodomas sertifikato naudojamų bitų skaičius.
Yra keletas kitų metodų, išvardytų Konsultaciniame KB straipsnyje 2661254. Aš taip pat rekomenduoju patikrinti CAPI2 metodą. Tai padės jums nustatyti visus sertifikatus, turinčius silpną šifro stiprumą. Šis metodas aprašytas anksčiau pateiktame KB straipsnyje 2661254.
Gedimas patekti į svetaines ir programas, kuriose yra silpni RSA skaitmeniniai sertifikatai
Nors IT specialistai primygtinai rekomendavo IT administratoriams atnaujinti savo RSA skaitmeninius sertifikatus mažiausiai 1024 bitų, "Microsoft" siūlo šalutinį sprendimą pasiekti svetaines ir programas su silpniais skaitmeniniais sertifikatais. Tai sako, kad gali praeiti šiek tiek laiko, kol visi administratoriai gali atnaujinti savo sertifikatus, taigi vartotojai galės naudotis numatytu sprendimu, kad gautų silpną RSA skaitmeninį sertifikatą, net jei svetainės ir programos atnaujina ir atnaujina savo sertifikatus. Šis būdas apima redagavimą Windows registro. Peržiūrėkite skyrių Leiskite rakto ilgis mažesnius nei 1024 bitų naudojant registro parametrus, esantį REZULTATUOJE, susietoje KB straipsnyje, norint įjungti "Windows" registro naudojimą certutil komanda
Atkreipkite dėmesį, kad yra dvi dalys: viena sakoma: RESOLUTIONS (daugiskaitos), o kita sako: RESOLUTION (vienintelis). Reikia išsiaiškinti skirsnį "REZOLUTIONS" (daugiskaitos), kad būtų galima išspręsti trumpalaikius "RSA" skaitmeninius sertifikatus.
"Microsoft" teikia naujinimus skyriuje "SKOLINIMO" KB straipsnio 2661254. Šie pataisymai atnaujina jūsų sistemą, siekiant padidinti minimalius šifravimo lygius "Windows" operacinių sistemų asortimentą, kad jums nepavyktų susidurti su problemomis, susijusiomis su tvirtais RSA skaitmeniniais sertifikatais. Prieš atsisiųsdami juos, patikrinkite, ar operacinė sistema yra paminėta prieš pataisas (įskaitant 32 ar 64 bitų), kad įsitikintumėte, jog atsisiųsite teisingą naujinį.
Apibendrinant, 512 bitų RSA skaitmeninių sertifikatų amžius baigėsi. Norint geriau apsaugoti nuo jūsų duomenų išnaudojimo, turite pereiti prie stipresnių pagrindinių privalumų.
