S rastúcim rozsahom digitálneho využívania, Microsoft vyšiel s poradenstvom, že už nebude mať digitálne certifikáty s pevnosťou menšou ako 1024 bitov. V auguste 2012 spoločnosť Microsoft vydala bezpečnostné poradenstvo, že od 9. októbra 2012 nebude podporovať digitálne certifikáty RSA. Musíte Upgrade digitálnych certifikátov RSA pred týmto dátumom dátum uzávierky na blokovanie slabých certifikátov (menej ako 1024 bitov).
Väčšina digitálnych certifikátov používa algoritmus RSA pre certifikáty používané na webových stránkach, digitálne podpisovanie a šifrovanie súborov. Sila algoritmu RSA je založená na počte použitých bitov. RSA certifikáty identifikujú jednotlivca, organizáciu a súbory ako autentické a originálne. Pri použití s e-mailmi a inými typmi dátových súborov umožňujú digitálne certifikáty RSA zabrániť neoprávnenému zásahu do obsahu súboru v tom zmysle, že v prípade manipulácie s originálnymi súbormi upozornia používateľov. Až doteraz väčšina certifikačných autorít (CA) poskytla digitálne certifikáty s menej ako 1024 bitmi. Vzhľadom na to, že využívanie online majetku je manipulované a využívané, softvérová spoločnosť tvrdí, že je najvyšší čas, aby správcovia IT aktualizovali svoje digitálne certifikáty RSA, aby ochránili používateľov pred akoukoľvek zraniteľnosťou.
Microsoft uviedol, že poskytne automatickú aktualizáciu 9. októbra 2012 ktorý bude aktualizovať operačné systémy a iné produkty na nerozpoznanie webových stránok a položiek pomocou digitálnych certifikátov RSA, ktoré majú menej ako 1024 bitov. Niektorí odborníci tvrdia, že toto rozhodnutie prišlo v dôsledku zneužívania palety operačných systémov Windows, ako je malware, ktorý sa páči Plameň atď. Iní hovoria, že Microsoft už dlho pracuje na tom. Nech už je dôvod, je načase vyprázdniť vaše digitálne certifikáty a aktualizovať ich na pevnosť najmenej 1024 bitov. Sila digitálneho certifikátu RSA sa meria časom, ktorý je potrebný na dekódovanie súkromného kľúča certifikátu. Ak chcete presadiť lepšiu ochranu, ľudia potrebujú do certifikátov pridať väčšiu silu.
Majte na pamäti, že spoločnosť uvádza minimálne 1024 bitov. Pre lepšiu ochranu a zabránenie akýmkoľvek podobným aktualizáciám v blízkej budúcnosti odporúča, aby ste získali silné stránky nad 2048 bitov.
Čo sa stane, ak neaktualizujete digitálne certifikáty RSA?
Zobrazia sa chybové hlásenia nižšie uvedeného a horšieho, vaše aplikácie nemusia fungovať správne.
Vyskytol sa problém s bezpečnostným certifikátom tejto webovej lokality
Podľa bezpečnostného poradenstva spoločnosti Microsoft nebude táto aktualizácia ovplyvňovať Windows 8 a Windows 2012 Server, pretože už majú zabudovanú funkciu na zablokovanie slabých certifikátov RSA, ktoré majú menej ako 1024 bitov. Ostatné operačné systémy a softvér budú aktualizované dňa 9. októbra 2012, aby konali zodpovedajúcim spôsobom - blokovali slabé RSA certifikáty. Nasledujú niektoré problémy, ktorým môžu ľudia čeliť, ak digitálne certifikáty RSA nie sú aktualizované (Ako je uvedené v článku KB 2661254):
- Certifikačné orgány nemôžu vydávať certifikáty RSA, ktoré majú menej ako 1024 bitov.
- Proces schvaľovania autorizácie (certsvc) sa nespustí, ak je digitálny certifikát RSA slabý;
- Program Internet Explorer zablokuje prístup na webové stránky so slabými digitálnymi certifikátmi RSA.
- Program Outlook 2010 nebude môcť digitálne podpísať e-maily a používatelia nebudú môcť šifrovať e-maily. Ak bol e-mail už zašifrovaný pomocou slabšieho certifikátu RSA, môže byť po aktualizácii stále dešifrovaný;
- Ak používatelia dostanú e-mail, ktorý je podpísaný digitálnym certifikátom RSA, menej ako 1024 bitov, dostanú upozornenie, že certifikát nemôže byť dôveryhodný - vysiela signály o originalite a pravosti e-mailu;
- Program Outlook sa nebude pripájať k serveru Exchange Server s certifikátmi RSA menej ako 1024 bitov. Užívatelia uvidia upozornenie, že certifikát nemôže byť dôveryhodný a preto bol zablokovaný.
- Pri inštalácii produktov s certifikátmi RSA sa používateľom zobrazí upozornenie na certifikát, ktorý odradí používateľov od inštalácie produktu "nedôveryhodného";
- Podľa poradného stanoviska "Systémové počítače HP-UX PA-RISC systému Center, ktoré používajú certifikát RSA s dĺžkou kľúča 512 bitov, generujú upozornenia na tlkot srdcovej činnosti a všetky monitorovanie prevádzky správcov počítačov zlyhá. Zobrazí sa aj "Chyba certifikátu SSL" s popisom "Overené certifikát certifikátu. "Kliknite tu pre viac informácií o počítačoch HP UX PA RISC s dĺžkou kľúča 512 bitov.
Tím spoločnosti Microsoft TechNet diskutuje o podrobných najčastejších otázkach a navrhovaných akciách na svojom blogu.
Ako zistiť, či certifikát RSA je slabý
Článok KB 2661254 navrhol nasledujúcu metódu na kontrolu, či máte slabé RSA digitálne certifikáty.
Všetky digitálne certifikáty RSA môžete otvoriť dvojitým kliknutím na ikonu. Podrobnosti o certifikácii môžete zobraziť na karte Podrobnosti po otvorení digitálneho certifikátu. Malo by byť pole označené ako "verejný kľúč", ktoré zobrazuje počet bitov, ktoré certifikát používa.
Existuje niekoľko ďalších metód uvedených v článku poradenskej KB 2661254. Odporúčam vám tiež skontrolovať metódu CAPI2. Pomôže vám identifikovať všetky certifikáty so slabou šifrovacou silou. Metóda je opísaná vo vyššie uvedenom článku KB 2661254.
Riešenie prístupu k webovým stránkam a programom s slabými RSA digitálnymi certifikátmi
Napriek tomu, že dôrazne odporúča IT administrátorom, aby upgradovali svoje digitálne certifikáty RSA s minimálnym počtom 1024 bitov, poskytuje spoločnosť Microsoft riešenie prístupu k webovým stránkam a programom, ktoré majú slabé digitálne certifikáty. Hovorí sa, že môže trvať nejaký čas, kým všetci administrátori môžu aktualizovať svoje certifikáty, a preto používatelia môžu použiť predpísané riešenie na prístup k slabým digitálnym certifikátom RSA, dokonca aj keď webové stránky a programy obnovujú a upgradujú svoje certifikáty. Toto riešenie zahŕňa úpravu Registry systému Windows. Pozrite si sekciu Povoliť dĺžky kľúčov menej ako 1024 bitov pomocou nastavení databázy Registry v časti UZÁVIRY v prepojenom článku KB na vyladenie registra systému Windows pomocou certutil Príkaz.
Všimnite si, že existujú dve časti: jeden hovorí REZOLÚCIE (množné číslo) a druhý hovorí REZOLÚCIA (singulárne). Musíte sa pozrieť na REZOLÚCIE (množné číslo) časť pre riešenie umožniť slabé RSA digitálne certifikáty dočasne.
Spoločnosť Microsoft poskytuje aktualizácie v časti REZOLÚCIA článku KB 2661254. Tieto záplaty aktualizujú systém tak, aby zvýšili minimálne úrovne šifrovania v oblasti operačného systému Windows, aby ste nemuseli čeliť problémom s prístupom k silným digitálnym certifikátom RSA. Skontrolujte operačný systém spomenutý proti opravám (vrátane 32 alebo 64 bitov) pred stiahnutím, aby ste sa uistili, že sťahujete správnu aktualizáciu.
Na záver, digitálny certifikát RSA vo veku 512 bitov skončil. Pre lepšiu ochranu pred zneužitím vašich údajov je potrebné prejsť na silnejšie kľúčové silné stránky.
