С разширяването на обхвата на цифровата експлоатация, Microsoft излезе със съвет, че вече няма да има цифрови сертификати с по-малко от 1024 бита сила. През август 2012 г. Microsoft издаде препоръка за сигурност, че няма да поддържа цифрови сертификати за RSA от 9 октомври 2012 г. Ти трябва да надстройте цифровите си удостоверения за RSA преди тази дата, крайната дата за блокиране на слабите сертификати (по-малко от 1024 бита).
Повечето цифрови сертификати използват алгоритъм RSA за сертификати, използвани с уеб сайтове, за цифрово подписване и криптиране на файлове. Силата на алгоритъма RSA се основава на броя на използваните битове. RSA сертификатите идентифицират физическо лице, организация и файлове като автентични и оригинални. Когато се използва с имейли и друг вид файлове с данни, цифровите сертификати на RSA позволяват да се предотврати манипулирането на съдържанието на файла в смисъл, че те ще предупреждават потребителите в случай на манипулиране на оригиналните файлове. Досега повечето сертифициращи органи (CA) предоставиха цифрови сертификати с по-малко от 1024 бита. Като се има предвид основата на експлоатацията на манипулирани и експлоатирани онлайн активи, софтуерната компания твърди, че е крайно време IT администраторите да актуализират своите RSA цифрови сертификати, за да защитят потребителите от всякакъв вид уязвимост.
Microsoft заяви, че ще предостави автоматична актуализация 9 октомври 2012 г., които ще актуализират операционните системи и други продукти, за да не разпознават уебсайтове и елементи, използвайки цифрови сертификати за RSA, които имат по-малко от 1024 бита. Някои експерти казват, че това решение е дошло в резултат на експлоатацията на операционната система Windows от зловреден софтуер като харесва Flame и т.н. Други казват, че Microsoft работи върху това от дълго време. Каквато и да е причината, е време да изчистите вашите цифрови сертификати и да ги надстроите до сила от най-малко 1024 бита. Силата на цифровия сертификат за RSA се измерва с времето, необходимо за декодиране на частния ключ на сертификата. За да наложат по-добра защита, хората трябва да добавят повече сила към сертификатите.
Имайте предвид, че фирмата посочва 1024 бита като минимум. За по-добра защита и за избягване на подобна актуализация в близко бъдеще, тя препоръчва да отидете за силни страни над 2048 бита.
Какво се случва, ако не актуализирате RSA цифрови сертификати?
Ще получите съобщения за грешка от типа, показан по-долу и по-лошо, вашите приложения може да не работят правилно.
Има проблем със сертификата за сигурност на този уебсайт
Според Microsoft Security Advisory, актуализацията няма да засегне Windows 8 и Windows 2012 Server, тъй като те вече имат вградената функция за блокиране на слаби RSA сертификати, които са по-малко от 1024 бита. Другите операционни системи и софтуер ще бъдат актуализирани на 9 октомври 2012 г., за да действат съобразно това - да блокират слабите RSA сертификати. Следват някои от проблемите, които хората могат да срещнат, ако цифровите сертификати на RSA не се актуализират (Както е споменато в статията 2661254 на Microsoft KB):
- Сертифициращите органи не могат да издават RSA сертификати с по-малко от 1024 бита;
- Процесът на получаване на разрешение за сертифициране (certsvc) няма да започне, ако цифровият сертификат на RSA е слаб;
- Internet Explorer ще блокира достъпа до уебсайтове със слаби цифрови сертификати за RSA;
- Outlook 2010 няма да може да подписва електронни имейли и потребителите няма да могат да шифроват имейли. Ако имейлът вече е шифрован с по-слаб RSA сертификат, той може да бъде декриптиран след актуализацията;
- Ако потребителите получат имейл, подписан с RSA цифров сертификат, по-малко от 1024 бита, те ще получат сигнал, че не може да се вярва на сертификата - изпращайки сигнали за оригиналността и автентичността на имейла;
- Outlook няма да се свърже с Exchange Server със сертификати за RSA по-малко от 1024 бита. Потребителите ще видят предупреждение, че сертификатът не може да бъде надежден и следователно е бил блокиран;
- Докато инсталирате продукти, носещи слаби RSA сертификати, потребителите ще получат предупреждение за сертификата, който ще обезсърчи потребителите да инсталират "неверен" продукт;
- Според Консултативния съвет "Системните центрове HP-UX PA-RISC на System Center, които използват сертификат RSA с дължина от 512 битове, ще генерират сигнали за сърдечен ритъм и всички мониторинг на операционните мениджъри на компютрите ще се провалят. Ще бъде генерирана "грешка в SSL сертификат" с описанието "подписано удостоверяване на сертификата. "Щракнете тук за повече информация за компютри HP UX PA RISC с дължина на 512-битовия ключ.
Екипът на Microsoft TechNet обсъжда подробни често задавани въпроси и предлага предложения на своя блог.
Как да разпознаете дали RSA сертификатът е слаб
Статията на KB 2661254 предлага следния метод, за да проверите дали притежавате слаби RSA цифрови сертификати.
Всички цифрови сертификати на RSA могат да бъдат отворени, като кликнете два пъти върху неговата икона. Подробности за сертифицирането можете да видите в раздела "Данни", след като отворите цифровия сертификат. Трябва да има поле, обозначено като "Публичен ключ", което показва броя на използваните от сертификата битове.
Има няколко други метода, изброени в статията 2661254 на Консултативния КБ. Препоръчвам ви да проверите и CAPI2 метода. Това ще ви помогне да идентифицирате всички сертификати, които имат слаба крепежна сила. Методът е описан в по-горе свързаната KB статия 2661254.
Заобиколно решение за достъп до уеб сайтове и програми със слаби RSA цифрови сертификати
Въпреки че настоятелно препоръчва на IT администраторите да обновят своите цифрови сертификати за RSA с минимум 1024 бита, Microsoft предоставя алтернативно решение за достъп до уебсайтове и програми със слаби цифрови сертификати. Според него може да отнеме известно време, преди всички администратори да могат да актуализират своите сертификати и по този начин потребителите могат да използват предписаното разрешение за достъп до слаби цифрови сертификати на RSA, дори когато уебсайтовете и програмите обновяват и надграждат своите сертификати. Схемата включва редактиране на системния регистър на Windows. Разгледайте раздела Разрешаване на ключови дължини на по-малко от 1024 бита, използвайки настройките на системния регистър под РЕЗОЛЮЦИИ в свързаната KB статия, за да промените регистъра на Windows, като използвате certutil команда.
Имайте предвид, че има две секции: един казва РЕЗОЛЮЦИИ (множествено число), а другият казва РЕЗОЛЮЦИЯ (единствено). Трябва да разгледате раздела РЕЗОЛЮЦИИ (множествено число) за това решение, за да позволите временно да разрешите слабите цифрови сертификати за RSA.
Microsoft предоставя актуализации в раздел RESOLUTION на статията на KB 2661254. Тези пластири обновяват вашата система, за да увеличат минималните нива на шифроване в операционната система Windows, така че да нямате проблеми с достъпа до силни цифрови сертификати на RSA. Проверете операционната система, посочена в пакетите (включително 32 или 64 бита), преди да ги изтеглите, за да сте сигурни, че изтегляте правилната актуализация.
За да обобщим, възрастта от 512 бита RSA цифрови сертификати е свършила. Трябва да преминете към по-силни ключови силни страни за по-добра защита срещу експлоатацията на вашите данни.
