Άμεση ενημέρωση των πιστοποιητικών διακομιστών Web της VeriSign για υπηρεσίες IIS: Ένα ενδιάμεσο πιστοποιητικό VeriSign που έχει λήξει ενδέχεται να προκαλέσει μη επικυρωμένες συνδέσεις σε τοποθεσίες που χρησιμοποιούν SSL

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 834438 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Το προηγούμενο ενδιάμεσο πιστοποιητικό της αρχής έκδοσης πιστοποιητικών VeriSign 128-bit International (Global) Server Intermediate έληξε στις 7 Ιανουαρίου 2004. Αυτό ενδέχεται να προκαλέσει ζητήματα σε υπολογιστές-πελάτες που προσπαθούν να δημιουργήσουν ασφαλείς συνδέσεις SSL (Secure Socket Layer) με έλεγχο ταυτότητας διακομιστή σε διακομιστές Web και σε άλλες εφαρμογές με δυνατότητα ελέγχου ταυτότητας SSL/Transport Layer Security (TLS) που δεν διαθέτουν ενημερωμένα πιστοποιητικά.

Για την αποτροπή αυτών των ζητημάτων, οι χειριστές των υπηρεσιών Microsoft Internet Information Services (IIS) θα πρέπει να επικοινωνήσουν με τη VeriSign, για να ενημερώσουν τα ενδιάμεσα πιστοποιητικά της αρχής έκδοσης πιστοποιητικών για διακομιστές που χρησιμοποιούν σύνδεση 128-bit SSL για να συνδεθούν με τοποθεσίες στο Web με το πρωτόκολλο Secure Hypertext Transfer Protocol.

Επίπτωση

Οι υπολογιστές-πελάτες δεν μπορούν να δημιουργήσουν συνδέσεις με προστασία SSL σε διακομιστές Web που δεν διαθέτουν ενημερωμένα πιστοποιητικά.

Σύσταση

Εγκαταστήστε την ενημερωμένη έκδοση του ενδιάμεσου πιστοποιητικού της VeriSign.

Λογισμικό που επηρεάζεται

  • Microsoft Internet Information Server
  • Microsoft Internet Security and Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

Τεχνικές λεπτομέρειες

Τεχνική περιγραφή

Η VeriSign διατηρεί πολλά πιστοποιητικά και λίστες ανάκλησης πιστοποιητικών (CRL) που λήγουν ή έχουν ήδη λήξει. Αυτό δεν είναι ασυνήθιστο. Συνήθως, τα πιστοποιητικά και οι λίστες CRL έχουν μικρή διάρκεια ζωής από τη σχεδίαση. Ωστόσο, κάποιες φορές τα πιστοποιητικά επανεκδίδονται ώστε να έχουν μεγαλύτερη διάρκεια ζωής. Αυτό δεν αποτελεί γενικά πρόβλημα, αλλά μπορεί να δημιουργήσει ζητήματα με διακομιστές που χρησιμοποιούν ασφαλή σύνδεση SSL (Secure Socket Layer) για να προστατεύσουν περιόδους λειτουργίας που συνδέονται με τους πόρους τους.

Εάν ένας χειριστής διακομιστή εγκαταστήσει ένα πιστοποιητικό SSL από τη VeriSign, μαζί με τα σχετικά πιστοποιητικά της αρχής έκδοσης πιστοποιητικών και αργότερα ο χειριστής του διακομιστή ανανεώσει το πιστοποιητικό SSL μέσω της VeriSign, ο χειριστής του διακομιστή πρέπει να βεβαιωθεί ότι τα ενδιάμεσα πιστοποιητικά έκδοσης ενημερώθηκαν ταυτόχρονα.

Εάν θέλετε να εγκαταστήσετε τα ενημερωμένα πιστοποιητικά, επισκεφθείτε την ακόλουθη τοποθεσία της VeriSign στο Web για τις πιο πρόσφατες εκδόσεις αυτών των πιστοποιητικών και για τα βήματα εγκατάστασής τους (στα αγγλικά):
https://www.verisign.com/support/site/caReplacement.html

Περισσότερες πληροφορίες

Η επικύρωση ενός πιστοποιητικού X.509 περιλαμβάνει αρκετές φάσεις. Αυτές οι φάσεις περιλαμβάνουν τον εντοπισμό διαδρομής και την επικύρωση διαδρομής.

Εντοπισμός διαδρομής είναι η διαδικασία εξακρίβωσης ότι ένα πιστοποιητικό έχει εκδοθεί από έγκυρη οντότητα. Για να το κάνετε αυτό, μπορείτε να χρησιμοποιήσετε πολλές τεχνικές, που περιλαμβάνουν τις εξής:
  • Οι υπολογιστές-πελάτες συχνά διατηρούν ένα χώρο προσωρινής αποθήκευσης ενδιάμεσων πιστοποιητικών. Ένα ενδιάμεσο πιστοποιητικό είναι ένα πιστοποιητικό που έχει φανεί χρήσιμο στην εξακρίβωση ότι ένα πιστοποιητικό έχει εκδοθεί τελικά από έγκυρη αρχή έκδοσης πιστοποιητικών ρίζας.

    Τα πιστοποιητικά ενδέχεται να περιέχουν επεκτάσεις που παρέχουν δείκτες προς πρόσθετες σχετικές πληροφορίες. Ένα παράδειγμα αυτού του τύπου επέκτασης είναι η επέκταση Authoritative Information Access (AIA). Η επέκταση AIA ενδέχεται να περιέχει ένα δείκτη προς τον εκδότη του πιστοποιητικού.

    Σημείωση Δεν περιέχουν όλα τα πιστοποιητικά αυτόν το δείκτη, συμπεριλαμβανομένων των πιστοποιητικών της VeriSign που επηρεάζονται από αυτό το ζήτημα. Η Microsoft συνεργάζεται και θα εξακολουθήσει να συνεργάζεται ενεργά με τους εκδότες πιστοποιητικών για να τους ενθαρρύνει να συμπεριλαμβάνουν αυτήν την πληροφορία στα πιστοποιητικά που θα εκδώσουν στο μέλλον. Για περισσότερες πληροφορίες σχετικά με αυτήν την επέκταση, ανατρέξτε στο έγγραφο Internet Engineering Task Force (IETF) Request for Comments (RFC) 3280.
  • Οι διακομιστές μπορούν να δώσουν την πρόσθετη πληροφορία στον υπολογιστή-πελάτη. Το SSL είναι ένα παράδειγμα αυτής της τεχνικής. Κατά τη διαπραγμάτευση SSL, ο διακομιστής παρέχει στον υπολογιστή-πελάτη το δικό του πιστοποιητικό και τα πιστοποιητικά που έχει καθορίσει ο διακομιστής ότι μπορεί να χρησιμοποιήσει ο υπολογιστής-πελάτης για να εξακριβώσει την ταυτότητα του διακομιστή.

Επικύρωση διαδρομής είναι η διαδικασία επαλήθευσης της διαδρομής που έχει εντοπιστεί. Η επικύρωση διαδρομής περιλαμβάνει την επαλήθευση της κρυπτογράφησης κάθε υπογραφής σε ένα πιστοποιητικό. Η επικύρωση διαδρομής περιλαμβάνει επίσης την επαλήθευση ότι επιβάλλονται οι πολιτικές του εκδότη. Σε αυτές τις πολιτικές περιλαμβάνονται:
  • Πιστεύει ο εκδότης ότι το συγκεκριμένο πιστοποιητικό είναι ακόμη έγκυρο και ότι εξακολουθεί να ελέγχεται από το άτομο για το οποίο εκδόθηκε αρχικά; Αυτή η συμπεριφορά συχνά αναφέρεται ως "έλεγχος ανάκλησης πιστοποιητικού" (certificate revocation checking). Τα Windows υποστηρίζουν ένα αντικείμενο κρυπτογράφησης, μια λίστα ανάκλησης πιστοποιητικών (CRL), για να πραγματοποιηθεί αυτή η επαλήθευσn.
  • Χρησιμοποιείται το πιστοποιητικό για το σκοπό για τον οποίο προοριζόταν από τον εκδότη; Για παράδειγμα, ένα πιστοποιητικό που έχει εκδοθεί για ηλεκτρονικό ταχυδρομείο δεν θα πρέπει να θεωρείται αξιόπιστο για την επιβεβαίωση ότι ένας διακομιστής Web είναι συσχετισμένος με ένα συγκεκριμένο όνομα τομέα (όπως συμβαίνει στη σύνδεση SSL).
  • Έχουν τα πιστοποιητικά χρονική ισχύ; Η διάρκεια ζωής των πιστοποιητικών είναι περιορισμένη για λόγους ασφαλείας. Ένας εκδότης δεν μπορεί να πιστοποιήσει ότι ένα άτομο ή ένας πόρος έχει μια συγκεκριμένη ταυτότητα για μεγαλύτερο χρονικό διάστημα από αυτό που θεωρείται ο εκδότης αξιόπιστος.

Συνήθεις ερωτήσεις

Πρόκειται για μια ευπάθεια ασφαλείας;

Όχι. Δεν πρόκειται για ευπάθεια ασφαλείας σε κανένα από τα προϊόντα που επηρεάζονται. Το ζήτημα παρουσιάζεται μόνο εξαιτίας της λήξης ενός ψηφιακού πιστοποιητικού άλλου κατασκευαστή.

Ποια είναι η εμβέλεια αυτού του ζητήματος;

Πρόσφατα η VeriSign, Inc, μια σημαντική αρχή έκδοσης πιστοποιητικών, ανανέωσε την αρχή έκδοσης πιστοποιητικών της “VeriSign International Server CA - Class 3” με πιστοποιητικά που έχουν μεγαλύτερη περίοδο εγκυρότητας. Εάν οι χειριστές διακομιστών Web ανανέωσαν τα πιστοποιητικά SSL τους έπειτα από αυτήν την ανανέωση, οι πελάτες τους ενδέχεται να αντιμετωπίσουν ζητήματα κατά την προσπάθεια επαλήθευσης ότι οι διακομιστές Web τους είναι πράγματι συσχετισμένοι με τις εταιρείες τους.

Πώς επιλύεται αυτό το ζήτημα;

Μπορείτε να επιλύσετε αυτό το ζήτημα ενημερώνοντας με μη αυτόματο τρόπο το ενδιάμεσο πιστοποιητικό της αρχής έκδοσης πιστοποιητικών (CA) σε κάθε διακομιστή Web. Για να αποκτήσετε αυτό το πιστοποιητικό, επισκεφθείτε την ακόλουθη τοποθεσία της VeriSign στο Web (στα αγγλικά):
https://www.verisign.com/support/site/caReplacement.html
Εάν πρόκειται για θέμα του διακομιστή, γιατί αντιμετωπίζουν το ζήτημα οι υπολογιστές-πελάτες;

Το ζήτημα παρουσιάζεται όταν ένας υπολογιστής-πελάτης προσπαθεί να δημιουργήσει σύνδεση με ενισχυμένη ασφάλεια σε ένα διακομιστή Web. Ως μέρος της διαδικασίας δημιουργίας της σύνδεσης, ο διακομιστής επιστρέφει πολλά πιστοποιητικά στον υπολογιστή-πελάτη. Ο υπολογιστής-πελάτης χρησιμοποιεί αυτά τα πιστοποιητικά για να επικυρώσει το πιστοποιητικό του διακομιστή. Σε αυτήν την περίπτωση, μία από τις αρχές έκδοσης ενδιάμεσων πιστοποιητικών (η "VeriSign International Server CA - Class 3" CA) έχει λήξει. Το ενδιάμεσο πιστοποιητικό δεν είναι έγκυρο. Επομένως, το πρόγραμμα περιήγησης εμφανίζει ένα προειδοποιητικό μήνυμα στο χρήστη που εξηγεί ότι η σύνδεση με ενισχυμένη ασφάλεια δεν ήταν δυνατό να δημιουργηθεί.

Έχουν σχέση με αυτό το ζήτημα τα πιστοποιητικά της Microsoft;

Όχι. Αυτά τα πιστοποιητικά έχουν εκδοθεί και ανήκουν στη VeriSign, Inc. Η VeriSign συμμετέχει σε ένα πρόγραμμα που διατηρείται από τη Microsoft. Σε αυτό το πρόγραμμα, άλλοι αξιόπιστοι προμηθευτές μπορούν να βοηθήσουν στην ασφάλεια του εμπορίου Internet για τους πελάτες της Microsoft. Για περισσότερες πληροφορίες σχετικά με αυτό το πρόγραμμα, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://www.microsoft.com/technet/security/news/rootcert.mspx
Ποιες αρχές έκδοσης πιστοποιητικών συμμετέχουν στο πρόγραμμα Microsoft Root Program;

Για μια λίστα με τους τρέχοντες αξιόπιστους άλλους κατασκευαστές που έχουν εγκριθεί για το πρόγραμμα Microsoft Root Program, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://msdn2.microsoft.com/en-us/library/ms995347.aspx
Η Microsoft εξακολουθεί να ενημερώνει τα πιστοποιητικά που χρησιμοποιεί ο Microsoft Internet Explorer;

Ναι. Ως μέρος του προγράμματος Microsoft Root Program, η λίστα των αξιόπιστων αρχών έκδοσης πιστοποιητικών ρίζας μπορεί να ενημερώνεται ανά τρίμηνο. Για χρήστες των Microsoft Windows XP και του Microsoft Windows Server 2003, αυτή η ενημέρωση πραγματοποιείται στο μηχανισμό επικύρωσης της αλληλουχίας, όταν παρουσιάζεται ένα πιστοποιητικό το οποίο δεν θεωρεί αξιόπιστο. Όταν παρατηρείται αυτή η συμπεριφορά, ζητείται από το Windows Update να επαληθεύσει ότι το πιστοποιητικό έχει προστεθεί στο πρόγραμμα Root Program. Για υπολογιστές-πελάτες με λειτουργικά συστήματα παλαιότερα από τα Windows XP, έχει εκδοθεί ένα συνιστώμενο πακέτο στο Windows Update για μη αυτόματη λήψη. Η Microsoft συνιστά στις επιχειρήσεις να αποφασίζουν οι ίδιες ποιους αξιόπιστους άλλους κατασκευαστές θέλουν να θεωρούν αξιόπιστους οι χρήστες της επιχείρησής τους.

Σημείωση Οι ενημερωμένες εκδόσεις που παρέχει το πρόγραμμα Microsoft Root Program δεν επιλύουν τα ζητήματα που προκαλεί η λήξη των ενδιάμεσων πιστοποιητικών της VeriSign.

Προτεινόμενη αντιμετώπιση

Για να επιλύσετε αυτό το ζήτημα, ενημερώστε το χώρο αποθήκευσης ενδιάμεσων πιστοποιητικών CA σε κάθε έναν από τους διακομιστές σας με τη νεότερη έκδοση του πιστοποιητικού VeriSign International Server Intermediate CA.

Αναφορές

Για περισσότερες πληροφορίες σχετικά με τον τρόπο που το CryptoAPI δημιουργεί αλληλουχίες πιστοποιητικών και επικυρώνει την κατάσταση ανάκλησης, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/crypto/tshtcrl.mspx

Υποστήριξη

Για μια πλήρη λίστα με αριθμούς τηλεφώνων των Υπηρεσιών Τεχνικής Υποστήριξης της Microsoft (Microsoft Product Support Services), καθώς και για πληροφορίες που αφορούν το κόστος υποστήριξης, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://support.microsoft.com/default.aspx?scid=fh;EL;CNTACTMS
Σημείωση Σε ειδικές περιπτώσεις, εάν ένας μηχανικός υποστήριξης της Microsoft κρίνει ότι μια συγκεκριμένη ενημερωμένη έκδοση θα επιλύσει το ζήτημά σας, ενδέχεται να μην ισχύσουν οι χρεώσεις που υφίστανται κανονικά για κλήσεις υποστήριξης. Για πρόσθετες ερωτήσεις υποστήριξης και για θέματα που δεν αφορούν τη συγκεκριμένη ενημερωμένη έκδοση, θα ισχύσουν οι συνηθισμένες χρεώσεις υποστήριξης.

Πόροι ασφαλείας

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια σε προϊόντα της Microsoft, επισκεφθείτε την ακόλουθη τοποθεσία του Microsoft TechNet στο Web (στα αγγλικά):
http://www.microsoft.com/technet/security/default.mspx

Αποποίηση ευθυνών

Οι πληροφορίες που παρέχονται στη Γνωσιακή Βάση της Microsoft (Knowledge Base) παρέχονται "ως έχουν" χωρίς κανενός είδους εγγύηση. Η Microsoft δεν παρέχει καμία εγγύηση, είτε ρητή είτε σιωπηρή, περιλαμβανομένων των εγγυήσεων εμπορευσιμότητας και καταλληλότητας για συγκεκριμένο σκοπό. Σε καμία περίπτωση η Microsoft Corporation ή οι προμηθευτές της δεν φέρουν καμία απολύτως ευθύνη για οποιαδήποτε ζημιά, συμπεριλαμβανομένων των άμεσων, έμμεσων, θετικών ή αποθετικών ζημιών, διαφυγόντων κερδών, απώλειας επιχειρηματικών κερδών ή ειδικών ζημιών, ακόμα και στην περίπτωση που η Microsoft Corporation ή οι προμηθευτές της ενημερώθηκαν για την πιθανότητα πρόκλησης τέτοιων ζημιών. Σε κάποιες πολιτείες δεν επιτρέπεται ο αποκλεισμός ή ο περιορισμός της ευθύνης για θετική ή αποθετική ζημία, εύλογη αποζημίωση ή διαφυγόν κέρδος και για το λόγο αυτό ο παραπάνω περιορισμός είναι δυνατό να μην ισχύει.

Ιδιότητες

Αναγν. άρθρου: 834438 - Τελευταία αναθεώρηση: Δευτέρα, 3 Δεκεμβρίου 2007 - Αναθεώρηση: 5.3
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Οδηγός Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
Λέξεις-κλειδιά: 
kbinfo KB834438

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com