С увеличением масштабов цифровой эксплуатации, Microsoft вышел с рекомендацией о том, что он больше не будет принимать цифровые сертификаты мощностью менее 1024 бит. В августе 2012 года Microsoft выпустила рекомендацию по безопасности, согласно которой она не будет поддерживать цифровые сертификаты RSA с 9 октября 2012 года. Вам нужно обновить цифровые сертификаты RSA до этой даты - дата отсечения для блокировки слабых сертификатов (менее 1024 бит).
Большинство цифровых сертификатов используют алгоритм RSA для сертификатов, используемых с веб-сайтами, для цифровой подписи и шифрования файлов. Сила алгоритма RSA основана на количестве используемых бит. Сертификаты RSA идентифицируют человека, организацию и файлы как аутентичные и оригинальные. При использовании с электронными сообщениями и другими типами файлов данных цифровые сертификаты RSA позволяют предотвратить несанкционированное использование содержимого файла в том смысле, что они будут предупреждать пользователей в случае обработки исходных файлов. До настоящего времени большинство центров сертификации (CA) предоставляли цифровые сертификаты с менее чем 1024 бит. Учитывая, что эксплуатация управляемых и эксплуатируемых онлайн-активов управляется, компания-разработчик программного обеспечения заявляет, что администраторы ИТ-систем своевременно обновляют свои цифровые сертификаты RSA для защиты пользователей от любой уязвимости.
Microsoft заявила, что предоставит автоматическое обновление 9 октября 2012 г. который будет обновлять операционные системы и другие продукты, чтобы не распознавать веб-сайты и элементы, используя цифровые сертификаты RSA с мощностью менее 1024 бит. Некоторые эксперты говорят, что это решение появилось после эксплуатации операционной системы Windows с помощью вредоносного ПО, подобного Flame и т. Д. Другие говорят, что Microsoft долгое время работала над этим. Какая бы ни была причина, пришло время удалить ваши цифровые сертификаты и обновить их до уровня не менее 1024 бит. Сила цифрового сертификата RSA измеряется временем, затрачиваемым на декодирование закрытого ключа сертификата. Чтобы обеспечить лучшую защиту, людям нужно добавить больше сил в сертификаты.
Имейте в виду, что компания заявляет минимум 1024 бит. Для лучшей защиты и во избежание подобных обновлений в ближайшем будущем рекомендуется использовать силы выше 2048 бит.
Что произойдет, если вы не обновите цифровые сертификаты RSA?
Вы получите сообщения об ошибках типа, показанного ниже и хуже, ваши приложения могут работать неправильно.
Существует проблема с сертификатом безопасности этого веб-сайта
Согласно Microsoft Security Advisory, обновление не повлияет на Windows 8 и Windows 2012 Server, поскольку у них уже есть встроенная функция для блокировки слабых сертификатов RSA, длина которых меньше 1024 бит. Другие операционные системы и программное обеспечение будут обновлены 9 октября 2012 года, чтобы действовать соответственно - блокировать слабые сертификаты RSA. Ниже приводятся некоторые проблемы, с которыми люди могут столкнуться, если цифровые сертификаты RSA не обновляются (как указано в статье Microsoft 2661254 в Microsoft KB):
- Органы сертификации не могут выдавать сертификаты RSA, имеющие менее 1024 бит;
- Процесс авторизации сертификации (certsvc) не запускается, если цифровой сертификат RSA слабый;
- Internet Explorer заблокирует доступ к веб-сайтам со слабыми цифровыми сертификатами RSA;
- Outlook 2010 не сможет подписывать электронные письма, и пользователи не смогут шифровать электронные письма. Если электронное письмо уже было зашифровано с использованием более слабого сертификата RSA, оно может быть дешифровано после обновления;
- Если пользователи получают электронную почту, подписанную цифровым сертификатом RSA менее 1024 бит, они получат предупреждение о том, что сертификат не может быть доверен - отправка сигналов об оригинальности и подлинности электронной почты;
- Outlook не будет подключаться к Exchange Server с сертификатами RSA менее 1024 бит. Пользователи будут видеть предупреждение о том, что сертификат не может быть доверен и, следовательно, заблокирован;
- При установке продуктов, содержащих слабые сертификаты RSA, пользователи получат предупреждение о сертификате, который будет препятствовать пользователям устанавливать «ненадежный» продукт;
- Согласно Консультативному совету,Системный центр Компьютеры HP-UX PA-RISC, которые используют сертификат RSA с длиной ключа в 512 бит, будут генерировать предупреждения о сердечном ритме, и весь мониторинг Operations Manager на компьютерах завершится с ошибкой. «Ошибка сертификата SSL» также будет сгенерирована с описанием «подписанная проверка сертификата». »Нажмите здесь, чтобы получить дополнительную информацию о компьютерах HP UX PA RISC с длиной ключа 512 бит.
Команда Microsoft TechNet обсуждает подробные FAQ и предлагаемые действия в своем блоге.
Как обнаружить, если сертификат RSA слаб
В статье 2661254 КБ предлагается следующий метод проверки наличия каких-либо слабых цифровых сертификатов RSA.
Все цифровые сертификаты RSA можно открыть, дважды щелкнув по значку. Подробности о сертификации можно просмотреть на вкладке «Сведения» после открытия цифрового сертификата. Должно быть поле с надписью «Открытый ключ», в котором указано количество битов, используемых сертификатом.
Существуют и другие методы, перечисленные в статье 2661254 Консультативного КБ. Я рекомендую вам также проверить метод CAPI2. Это поможет вам идентифицировать все сертификаты, имеющие слабую силу шифрования. Способ описан в вышеупомянутой статье KB6261254 KB.
Обходной путь для доступа к веб-сайтам и программам с слабыми сертификатами RSA Digital
Хотя он настоятельно рекомендовал администраторам IT обновить свои цифровые сертификаты RSA минимум на 1024 бит, Microsoft предлагает обходной путь для доступа к веб-сайтам и программам, имеющим слабые цифровые сертификаты. В нем говорится, что может потребоваться некоторое время, прежде чем все администраторы смогут обновить свои сертификаты, и поэтому пользователи могут использовать предписанный метод обхода решения для доступа к слабым цифровым сертификатам RSA, даже если веб-сайты и программы обновляют и обновляют свои сертификаты. Обходной путь включает в себя редактирование реестра Windows. Ознакомьтесь с разделом «Разрешить длину ключа менее 1024 бит», используя настройки реестра в разделе «РЕЗОЛЮЦИИ» в связанной статье КБ, чтобы настроить реестр Windows, используя Certutil команда.
Обратите внимание, что существует два раздела: один говорит RESOLUTIONS (множественное число), а другой говорит РЕЗОЛЮЦИЮ (единственное). Вы должны проверить раздел RESOLUTIONS (множественное число) для обходного пути, чтобы временные временные сертификаты SMA были слабыми.
Microsoft предоставляет обновления в разделе РЕЗОЛЮЦИЯ статьи 266125 КБ. Эти исправления обновляют вашу систему, чтобы увеличить минимальные уровни шифрования в операционных системах Windows, чтобы у вас не возникало проблем с доступом к сильным цифровым сертификатам RSA. Перед загрузкой проверьте операционную систему, указанную в отношении исправлений (включая 32 или 64 бит), чтобы убедиться, что вы загружаете правильное обновление.
Таким образом, возраст 512 бит цифровых сертификатов RSA закончился. Вам необходимо перейти к более сильным ключевым силам для лучшей защиты от использования ваших данных.
