Für IIS VeriSign Web Server Zertifikate jetzt aktualisieren: ein abgelaufenes VeriSign-intermediate-Zertifikat kann dazu führen, nicht geprüften Verbindungen zu Websites mit SSL

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 834438 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Das vorherige VeriSign 128-Bit-International (Global) Server Intermediate-Zertifikat ist am 7. Januar 2004 abgelaufen. Dies kann Probleme für Clients verursachen, die versuchen, das Einrichten der Server authentifiziert secure Socket Layer (SSL) Verbindungen mit Webservern und anderen SSL/TLS Transport Layer Security-fähigen Anwendungen, die nicht auf dem neuesten Stand Zertifikate verfügen.

Um diese Probleme zu verhindern, wenden Microsoft-Internetinformationsdienste (IIS) Operatoren VeriSign-Zertifikate der Zwischenzertifizierungsstellen für Server aktualisieren, die 128-Bit-SSL verwenden, um die Verbindung zu Websites mit Secure Hypertext Transfer Protocol.

Auswirkungen

Clients können keine SSL-geschützte Verbindungen zu Webservern herstellen, die aktualisierten Zertifikate verfügen.

Empfehlung

Installieren Sie die aktualisierte Version des zwischen VeriSign-Zertifikat.

Betroffene software

  • Microsoft Internet Informationsserver
  • Microsoft Internet Security and Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

Technische details

Technische Beschreibung

VeriSign verwaltet viele Zertifikate und Zertifikatssperrlisten (CRLs), die bald ablaufen, oder die abgelaufen. Dies ist nicht ungewöhnlich. In der Regel werden Zertifikate und CRLs kurzlebige beabsichtigt. Zertifikate sind jedoch manchmal erneut herausgegeben, um ihnen eine längere Lebensdauer zu verleihen. Dies ist im Allgemeinen kein Problem, aber es kann Probleme mit Servern, die secure Socket Layer (SSL) verwenden, um Sitzungen zu schützen, die auf ihre Ressourcen verbinden erstellen.

Wenn ein Server-Operator ein SSL-Zertifikat von VeriSign, zusammen mit der entsprechenden ausstellenden Zertifikate installiert und dann der Serveroperator später durch VeriSign SSL-Zertifikat erneuert, muss der Serveroperator sicherstellen, dass die ausstellenden Zwischenzertifikate zur gleichen Zeit aktualisiert werden.

Wenn Sie die aktualisierten Zertifikate installieren möchten, besuchen Sie die neuesten Versionen dieser Zertifikate und Anweisungen zum Installieren die folgende VeriSign-Website:
https://Knowledge.VeriSign.com/Support/SSL-Certificates-Support/Index?Page=Content&ID=S:SO7094

Weitere Informationen

Die Validierung eines x. 509-Zertifikats umfasst mehrere Phasen. Diese Phasen gehören Pfadsuche und der Pfadüberprüfung.

Pfadsuche versteht man das feststellen, ob eine gültige Entität ein Zertifikat ausgestellt wurde. Sie können viele Techniken verwenden, dazu, einschließlich der folgenden:
  • Clients erhalten häufig einen Cache von Zwischenzertifikaten. Ein intermediate Zertifikat ist ein Zertifikat, das hilfreich sein festzustellen, ob ein Zertifikat letztlich von einer gültigen Stammzertifizierungsstelle ausgestellt wurde erwiesen hat.

    Zertifikate können Erweiterungen enthalten, die Verweise auf zusätzliche relevante Informationen bereitstellen. Ein Beispiel für diese Art von Erweiterung ist die Erweiterung (autorisierende Information Access, AIA). AIA-Erweiterung kann einen Zeiger auf den Aussteller des Zertifikats enthalten.

    Hinweis Nicht alle Zertifikate enthalten this-Zeiger, einschließlich VeriSign-Zertifikate, die beteiligt sind in dieser Ausgabe. Microsoft wurde und weiterhin arbeiten aktiv mit Zertifikataussteller zu ermutigen, diese Informationen in Zertifikaten enthalten, die sie in der Zukunft ausgibt. Weitere Informationen zu dieser Erweiterung finden Sie unter der Internet Engineering Task Force (IETF) Request for Comments (RFC) 3280.
  • Server können die zusätzliche Informationen an dem Client bereitstellen. SSL ist ein Beispiel für dieses Verfahren. In der SSL-Aushandlung stellt der Server dem Client das eigene Zertifikat und die Zertifikate, die der Server ermittelt hat, dass der Client verwenden kann, um die Identität des Servers zu ermitteln.

Überprüfung ist der Prozess der Überprüfung des ermittelten Pfad. Pfadüberprüfung umfasst die kryptografische Überprüfung jeder Signatur eines Zertifikats. Pfadüberprüfung umfasst auch die Überprüfung, dass der Emittent Richtlinien erzwungen werden. Diese Richtlinien umfassen:
  • Davon der Aussteller geht aus, dass das fragliche Zertifikat noch gültig und ist immer noch unter der Kontrolle der Person, der sie ursprünglich erteilt wurde? Dieses Verhalten wird häufig als "Zertifikatsperrungen." bezeichnet Windows unterstützt ein kryptografisches Objekt eine Zertifikatssperrliste (CRL), diese Überprüfung durchgeführt.
  • Ist das Zertifikat für einen Zweck wird verwendet, die der Aussteller für verwendet werden soll? Beispielsweise sollte ein Zertifikat, das für E-mail ausgestellt wurde nicht als vertrauenswürdig angesehen zu bestätigen, dass ein Webserver einen bestimmten Domänennamen zugeordnet ist (wie in SSL durchgeführt wird).
  • Sind die Zertifikate Zeit gültig? Zertifikat-Lebensdauer werden aus Sicherheitsgründen eingeschränkt. Ein Aussteller kann nicht bestätigen, dass eine Person oder eine Ressource hat eine bestimmte Identität für mehr, dass der Aussteller vertrauenswürdig betrachtet wird.

Häufig gestellte Fragen

Ist dies ein Sicherheitsrisiko dar?

"Nein". Dies ist keine Sicherheitslücke in einem der betroffenen Produkte. Das Problem verursacht nur wegen der Ablauf des digitalen Zertifikats von einer dritten Partei.

Was ist der Umfang des Problems?

VeriSign, Inc., einer großen Zertifizierungsstelle erneuert vor kurzem eine Zertifizierungsstelle "VeriSign International Server CA - Klasse 3" mit Zertifikaten, die eine längere Gültigkeitsdauer haben. Wenn Web Server-Operatoren ihre SSL-Zertifikate nach dieser Verlängerung erneuert, können ihre Kunden Probleme auftreten, wenn sie versuchen, zu überprüfen, dass ihre Webserver tatsächlich Organisationen zugeordnet sind.

Wie ist das Problem behoben?

Sie können dieses Problem beheben, aktualisieren Sie manuell die intermediate-Zertifikat der Zertifizierungsstelle (CA) auf jedem Webserver. Um dieses Zertifikat zu erhalten, finden Sie auf den folgenden VeriSign-Website:
https://Knowledge.VeriSign.com/Support/SSL-Certificates-Support/Index?Page=Content&ID=S:SO7094
Ist dies ein Server-Problem, warum erleben Kunden das Problem?

Das Problem tritt auf, wenn ein Client versucht, eine Verbindung mit erhöhter Sicherheit auf einem Webserver herzustellen. Als Teil der Prozess der Herstellung der Verbindungs übergibt der Server viele Zertifikate an dem Client zurück. Der Client verwendet diese Zertifikate das Zertifikat des Servers überprüfen. In diesem Fall ist eine der Zwischenzertifizierungsstellen ("VeriSign International Server CA - Klasse 3"-CA) abgelaufen. Diese Zwischenzertifikat ist ungültig. Aus diesem Grund zeigt der Browser eine Warnmeldung an den Benutzer, der erklärt, dass eine Verbindung mit erhöhter Sicherheit konnte nicht hergestellt werden.

Gibt Microsoft-Zertifikate?

"Nein". Diese Zertifikate ausgestellt werden und sind im Besitz von VeriSign, Inc. VeriSign beteiligt ist ein Programm, das von Microsoft gepflegt wird. In diesem Programm können Vertrauensstellung von Drittanbieter-Anbieter für Microsoft-Kunden sicheren Internet-Handel. Weitere Informationen zu diesem Programm finden Sie auf der folgenden Microsoft-Website:
http://technet.Microsoft.com/en-us/library/cc751157.aspx
Welche Zertifizierungsstellen Stamm am Programm teilnehmen?

Eine Liste der aktuellen vertrauenswürdigen dritten, die für das Microsoft Root-Programm qualifiziert haben, finden Sie auf der folgenden Microsoft-Website:
http://msdn2.Microsoft.com/en-us/library/ms995347.aspx
Aktualisieren Microsoft immer noch die Zertifikate, die Microsoft Internet Explorer verwendet?

"Ja". Als Teil des Programms Microsoft Root kann die Liste der vertrauenswürdigen Stammzertifizierungsstellen vierteljährlich aktualisiert werden. Für Benutzer von Microsoft Windows XP und Microsoft Windows Server 2003 tritt dieses Update in der Kettenvalidierungsmodul auf, wenn sie ein Zertifikat vorgelegt wird, die nicht vertraut. Wenn dieses Verhalten auftritt, wird Windows Update kontaktiert, um zu überprüfen, ob das Zertifikat der Stamm-Programm hinzugefügt wurden. Auf Prä-Windows XP-Clients erscheint ein empfohlenes Paket für Windows Update manuell herunterzuladen. Microsoft empfiehlt, dass Unternehmen selbst zu entscheiden, sie möchten, dass Benutzer in ihren Unternehmen vertrauen, dritten als vertrauenswürdig.

Hinweis Updates, die das Microsoft Root-Programm werden nicht die Probleme behandelt, die Gültigkeitsdauer der VeriSign Intermediate auslöst.

Lösung

Um dieses Problem zu beheben, aktualisieren Sie den Zwischenspeicher mit CA-Zertifikat auf jedem Server, auf die neueste Version der Zwischenzertifizierungsstelle VeriSign International Server.

Informationsquellen

Weitere Informationen zum CryptoAPI erstellt Zertifikatketten und Sperrstatus überprüft finden Sie auf der folgenden Microsoft-Website:
http://technet.Microsoft.com/en-us/library/cc700843.aspx

Support

Eine vollständige Liste der Microsoft Product Support Services Telefonnummern und Informationen über Supportkosten finden Sie auf der folgenden Microsoft-Website:
http://support.Microsoft.com/default.aspx?scid=fh;de;[LN];CNTACTMS
Hinweis In besonderen Fällen können Gebühren, die normalerweise für Support-Anrufe anfallen abgebrochen werden, wenn ein Microsoft-Supportmitarbeiter feststellt, dass ein bestimmtes Update Ihr Problem beheben kann. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die dem fraglichen Update nicht qualifizieren.

Ressourcen zum Thema Sicherheit

Weitere Informationen zur Sicherheit in Microsoft-Produkten finden Sie auf der folgenden Microsoft TechNet Web Site:
http://www.Microsoft.com/technet/security/default.mspx

Haftungsausschluss

Die Angaben in der Microsoft Knowledge Base wird "wie besehen" ohne Gewährleistung jeglicher Art bereitgestellt. Microsoft schliesst alle Garantien, weder ausdrücklich noch konkludent, einschliesslich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck. In keinem Fall sind Microsoft Corporation oder deren Lieferanten haftbar für Schäden jeglicher Art einschließlich direkte, indirekte, beiläufig entstandene, Folge-, Verlust von entgangenen Gewinns oder spezieller Schäden, selbst wenn Microsoft Corporation oder deren Lieferanten die Möglichkeit solcher Schäden hingewiesen wurde. Einige Staaten lassen den Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene oder Folgeschäden gilt die obige Einschränkung möglicherweise nicht nicht zu.

Eigenschaften

Artikel-ID: 834438 - Geändert am: Sonntag, 28. Oktober 2012 - Version: 5.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
Keywords: 
kbinfo kbmt KB834438 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 834438
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com