Med omfanget av digital utnyttelse øker, Microsoft kom ut med en rådgivende at det ikke lenger vil underholde digitale sertifikater med mindre enn 1024 bits styrke. I august 2012 utstedte Microsoft en sikkerhetsrådgivning som ikke støtter RSA digitale sertifikater fra 9. oktober 2012. Du trenger å oppgrader dine RSA digitale sertifikater før den datoen, avskjæringsdatoen for å blokkere svake sertifikater (mindre enn 1024 biter).
De fleste digitale sertifikater anvender RSA-algoritmen for sertifikater som brukes med nettsteder, for å signere og kryptere filer digitalt. Styrken til RSA-algoritmen er basert på antall brukte biter. RSA-sertifikater identifiserer en person, organisasjon og filer som autentisk og original. Når det brukes med e-post og annen type datafiler, tillater RSA digitale sertifikater å forhindre å manipulere filinnholdet på en måte at de vil varsle brukere ved manipulering av originale filer. Hittil har de fleste sertifiseringsmyndighetene (CA) levert digitale sertifikater med mindre enn 1024 bits. Gitt grunnlaget for utnyttelse av elektroniske eiendeler blir manipulert og utnyttet, sier programvareselskapet at det er høy tid IT-admins oppdaterer sine RSA digitale sertifikater for å beskytte brukere mot enhver form for sårbarhet.
Microsoft sa det vil gi en automatisk oppdatering på 9. okt 2012 som vil oppdatere operativsystemer og andre produkter for å ikke gjenkjenne nettsteder og gjenstander som bruker RSA digitale sertifikater med mindre enn 1024 biters styrke. Noen eksperter sier at denne avgjørelsen har kommet i etterkant av utnyttelse av Windows-serien av operativsystem ved skadelig programvare av likes Flame etc. Andre sier at Microsoft jobbet på dette lenge siden. Uansett hva som er årsaken, er det på tide å støve av dine digitale sertifikater og oppgradere dem til en styrke på minst 1024 biter. Styrken til et RSA digitalt sertifikat måles etter tid som er tatt for å dekode den private nøkkelen til sertifikatet. For å håndheve bedre beskyttelse, må folk legge til mer styrke til sertifikatene.
Vær oppmerksom på at selskapet oppgir minst 1024 bits. For bedre beskyttelse og for å unngå lignende oppdateringer i nær fremtid, anbefaler vi at du går for styrker over 2048 biter.
Hva skjer hvis du ikke oppdaterer RSA digitale sertifikater?
Du får feilmeldinger av typen vist nedenfor og verre, det kan hende at programmene dine ikke fungerer som de skal.
Det er et problem med sikkerhetssertifikatet for dette nettstedet
Ifølge Microsoft Security Advisory vil oppdateringen ikke påvirke Windows 8 og Windows 2012 Server, da de allerede har den innebygde funksjonen for å blokkere svake RSA-sertifikater som er mindre enn 1024 bits lange. Andre operativsystemer og programvare vil bli oppdatert 9. oktober 2012 for å opptre tilsvarende - for å blokkere svake RSA-sertifikater. Følgende er noen av problemene folk kan møte hvis RSA digitale sertifikater ikke oppdateres (Som nevnt i Microsoft KB-artikkel 2661254):
- Sertifiseringsmyndighetene kan ikke utstede RSA-sertifikater med mindre enn 1024 bits;
- Sertifiseringsautorisasjonsprosessen (certsvc) starter ikke hvis RSA digitalt sertifikat er svakt;
- Internet Explorer vil blokkere tilgang til nettsteder med svake RSA digitale sertifikater;
- Outlook 2010 vil ikke kunne signere e-postmeldinger digitalt, og brukere vil ikke kunne kryptere e-postmeldinger. Hvis e-posten allerede var kryptert ved hjelp av et svakere RSA-sertifikat, kan det fortsatt dekrypteres etter oppdateringen.
- Hvis brukerne mottar en e-post signert av RSA digital sertifikat mindre enn 1024 bits, vil de motta et varsel som sier at sertifikatet ikke kan stole på - sender ut signaler om originaliteten og ektheten av e-posten.
- Outlook vil ikke koble til Exchange Server med RSA-sertifikater mindre enn 1024 bits. Brukere vil se et varsel som sier at sertifikatet ikke kan stole på og dermed er blokkert.
- Mens du installerer produkter som bærer svake RSA-sertifikater, vil brukerne få advarsel om sertifikatet som vil fraråde brukere å installere det "usikre" produktet.
- Ifølge rådgivningen, "System Center HP-UX PA-RISC-datamaskiner som bruker et RSA-sertifikat med en 512-bits nøkkellengde, genererer hjerteslagvarsler, og all Operations Manager-overvåking av datamaskinene vil mislykkes. En "SSL-sertifikatfeil" vil også bli generert med beskrivelsen "signert sertifikatbekreftelse. "Klikk her for mer informasjon om HP UX PA RISC-datamaskiner med 512 biters nøkkellengde.
Microsoft TechNet-teamet har en diskusjon om detaljerte spørsmål og forslag til tiltak på bloggen sin.
Hvordan oppdages hvis RSA-sertifikatet er svakt
KB-artikkelen 2661254 har foreslått følgende metode for å kontrollere om du har noen svake RSA digitale sertifikater.
Alle RSA digitale sertifikater kan åpnes ved å dobbeltklikke på ikonet. Detaljer om sertifisering kan vises på fanen Detaljer når du åpner det digitale sertifikatet. Det skal være et felt merket "Public Key" som viser antall bits som brukes av sertifikatet.
Det finnes noen andre metoder som er oppført i Advisory KB-artikkel 2661254. Jeg anbefaler at du også sjekker ut CAPI2-metoden. Det vil hjelpe deg med å identifisere alle sertifikatene med svak krypsstyrke. Fremgangsmåten er beskrevet i den ovenfor koblede KB-artikkel 2661254.
Løsning for å få tilgang til nettsteder og programmer med svake RSA-digitale sertifikater
Selv om det har sterkt anbefalt IT-administratorer til å oppgradere sine RSA-digitale sertifikater med minst 1024 bits, gir Microsoft en løsning for tilgang til nettsteder og programmer som har svake digitale sertifikater. Det står at det kan ta litt tid før alle administratorer kan oppdatere sertifikatene, og brukerne kan derfor bruke den foreskrevne løsningen for å få tilgang til svake RSA digitale sertifikater, selv om nettsteder og programmer fornyer og oppgraderer sertifikatene sine. Løsningen innebærer redigering av Windows-registret. Se avsnittet Tillat nøkkellengder på mindre enn 1024 bitene ved hjelp av registerinnstillinger under RESOLUTIONS i koblet KB-artikkelen for å justere Windows-registret ved å bruke certutil kommando.
Merk at det er to seksjoner: en sier RESOLUTIONS (flertall) og den andre sier RESOLUTION (singular). Du må sjekke ut RESOLUTIONS (flertall) seksjonen for løsningen for å tillate svake RSA digitale sertifikater temporariliy.
Microsoft gir oppdateringer under seksjonen Løsning i KB-artikkel 2661254. Disse oppdateringene oppdaterer systemet ditt for å øke minimumskrypteringsnivåene i Windows-serien av operativsystemer, slik at du ikke står overfor problemer med tilgang til sterke RSA-digitale sertifikater. Kontroller operativsystemet som er nevnt mot oppdateringene (inkludert 32 eller 64 bit) før du laster ned dem for å sikre at du laster ned den riktige oppdateringen.
For å oppsummere er alderen på 512 bit RSA digitale sertifikater over. Du må flytte til sterkere nøkkelstyrker for bedre beskyttelse mot utnyttelse av dataene dine.
