Ažuriranje RSA certifikata na minimum od 1024 bita - veza za Microsoftovo savjetovanje i ažuriranja

2024 Autor: Geoffrey Carr | [email protected]. Zadnja promjena: 2023-12-17 10:57

S povećanjem digitalne eksploatacije, Microsoft izašao je s savjetom da više neće zabavljati digitalne certifikate manje od 1024 bita. U kolovozu 2012. Microsoft je izdao sigurnosno savjetovanje da neće podržati RSA digitalne certifikate od 9. listopada 2012. godine. Trebaš nadogradite RSA digitalne certifikate prije tog datuma, datum isključivanja za blokiranje slabih certifikata (manje od 1024 bita).

Većina digitalnih certifikata koristi RSA algoritam za certifikate koji se koriste na web stranicama, za digitalno prijavljivanje i šifriranje datoteka. Snaga RSA algoritma temelji se na broju korištenih bita. RSA certifikati prepoznaju pojedinca, organizaciju i datoteke kao autentičnu i originalnu. Kada se koristi s e-poštom i drugim vrstama podatkovnih datoteka, RSA digitalni certifikati dopuštaju sprečavanje neovlaštenog kopiranja sadržaja datoteke u smislu da će upozoriti korisnike u slučaju manipulacije izvornim datotekama. Do sada je većina tijela za izdavanje certifikata (CA) dala digitalne certifikate s manje od 1024 bita. S obzirom na bazu eksploatacije mrežne imovine koja se manipulira i iskorištava, softverska tvrtka kaže da je vrijeme da IT administratori ažuriraju svoje RSA digitalne certifikate kako bi zaštitili korisnike od bilo kakve ranjivosti.

Microsoft je kazao kako će omogućiti automatsko ažuriranje 9. listopada 2012 koji će ažurirati operacijske sustave i druge proizvode kako bi prepoznao web stranice i stavke pomoću RSA digitalnih potvrda s manje od 1024 bita. Neki stručnjaci kažu kako je ova odluka proizašla iz eksploatacije Windows operacijskog sustava zlonamjernim softverom poput Flame itd. Drugi kažu da je Microsoft odavno radio na tome. Bez obzira na razlog, vrijeme je za prašinu digitalnih certifikata i nadogradite ih na snagu od najmanje 1024 bita. Snaga RSA digitalnog certifikata mjerena je vremenom koje je potrebno za dekodiranje privatnog ključa certifikata. Da bi se osigurala bolja zaštita, ljudi trebaju dodati više snage certifikatima.

Imajte na umu da tvrtka navodi najmanje 1024 bita. Za bolju zaštitu i izbjegavanje sličnih ažuriranja u bliskoj budućnosti, preporučuje vam da odete na snage iznad 2048 bita.

Što se događa ako ne ažurirate RSA digitalne certifikate?

Dobit ćete poruke o pogreškama tipa prikazanog ispod i još gore, vaše aplikacije možda neće ispravno raditi.

Postoji problem s sigurnosnim certifikatom ove web stranice

Prema Microsoft Security Advisory, ažuriranje neće utjecati na Windows 8 i Windows 2012 Server budući da već imaju ugrađenu značajku za blokiranje slabih RSA certifikata koji su dulji od 1024 bita. Ostali operacijski sustavi i softver bit će ažurirani 9. listopada 2012. kako bi djelovali u skladu s tim - da blokiraju slabe RSA certifikate. Slijede neki od problema s kojima se ljudi mogu suočiti ako se RSA digitalni certifikati ne ažuriraju (Kao što je spomenuto u članku Microsoft KB članka 2661254):

1. Tijela za izdavanje certifikata ne mogu izdati RSA certifikate koji imaju manje od 1024 bita;
2. Postupak izdavanja certifikata (certsvc) neće se pokrenuti ako je RSA digitalni certifikat slab;
3. Internet Explorer blokirat će pristup web-lokacijama s slabim RSA digitalnim certifikatima;
4. Outlook 2010 neće moći digitalno potpisivati poruke e-pošte, a korisnici neće moći šifrirati poruke e-pošte. Ako je e-pošta već kriptirana pomoću slabijeg RSA certifikata, može se još uvijek dešifrirati nakon ažuriranja;
5. Ako korisnici dobiju e-poštu potpisanu od strane RSA digitalnog certifikata manje od 1024 bita, dobit će upozorenje kako se potvrda ne može pouzdati - slanje signala o originalnosti i autentičnosti e-pošte;
6. Outlook se neće povezati s Exchange Serverom s RSA certifikatima manjim od 1024 bita. Korisnici će vidjeti upozorenje da se potvrda ne može pouzdati i stoga je blokirana;
7. Dok instalirate proizvode koji nose slabe RSA certifikate, korisnici će primiti upozorenje o certifikatu koji će odvratiti korisnike da instaliraju "nepouzdani" proizvod;
8. Prema savjetovanju, "Sustavni centar HP-UX PA-RISC računala koja koriste RSA certifikat s duljinom ključa od 512 bita generirat će upozorenja o otkucajima srca i sve nadgledanje operacijskih upravitelja računala neće uspjeti. Također će se generirati "SSL Certificate Error" s opisom "potpisana potvrda potvrde. "Kliknite ovdje za više informacija o HP UX PA RISC računalima s duljinom ključa od 512 bita.

Tim za Microsoft TechNet raspravlja o detaljnim FAQ-ima i predloženim radnjama na svom blogu.

Kako otkriti ako je RSA potvrda slaba

Članak KB 2661254 predlaže sljedeću metodu da provjerite zadržavate li slabe RSA digitalne certifikate.

Sve RSA digitalne potvrde mogu se otvoriti dvostrukim klikom na ikonu. Pojedinosti o certifikaciji možete vidjeti na kartici Pojedinosti kad otvorite digitalni certifikat. Trebalo bi biti polje označeno kao "Javni ključ" koji pokazuje broj bitova koje koristi certifikat.

Postoje neke druge metode navedene u članku Advisory KB članka 2661254. Preporučujem vam da provjerite i CAPI2 metodu. Pomoći će vam da utvrdite sve potvrde koje imaju slabu snagu šifre. Metoda je opisana u gornjem povezanom članku KB 2661254.

Zaobilazno rješenje za pristup web stranicama i programima sa slabim RSA digitalnim certifikatima

Iako je snažno savjetovao IT administratorima nadogradnju svojih RSA digitalnih certifikata s najmanje 1024 bita, Microsoft pruža rješenje za pristup web stranicama i programima koji imaju slabe digitalne certifikate. Kaže da može potrajati neko vrijeme prije nego što svi administratori mogu ažurirati svoje certifikate pa stoga korisnici mogu koristiti propisan način za pristup slabim RSA digitalnim certifikatima, čak i kada web stranice i programi obnove i nadograđuju svoje certifikate. Zaobilazno rješenje uključuje uređivanje registra sustava Windows. Pogledajte odjeljak Dopusti ključ duljine manjeg od 1024 bita pomoću postavki registra pod RESOLUTIONS u povezanom članku KB za podešavanje registra sustava Windows pomoću certutil naredba.

Imajte na umu da postoje dva odjeljka: jedan kaže RESOLUTIONS (množina), a drugi kaže RESOLUTION (singular). Morate provjeriti odjeljak RESOLUCIJE (množina) za zaobilazno rješenje da biste privremeno osiguralo slabe RSA digitalne potvrde.

Microsoft pruža ažuriranja u odjeljku RESOLUTION of KB članka 2661254. Ove zakrpe ažuriraju vaš sustav kako bi povećale minimalne razine enkripcije u rasponu Windows operativnih sustava kako se ne biste suočili s problemima u pristupu jakim RSA digitalnim certifikatima. Prije nego što ih preuzmete, provjerite je li operacijski sustav spojen na zakrpe (uključujući 32 ili 64 bita) kako biste bili sigurni da preuzimate ispravno ažuriranje.

Ukratko, starost od 512 bitnih RSA digitalnih certifikata je gotova. Morate se prebaciti na jaču ključnu snagu kako biste imali bolju zaštitu od iskorištavanja vaših podataka.