Actualice ahora los certificados VeriSign de Servidor Web para IIS: La utilización de un certificado intermedio de VeriSign caducado podría permitir el establecimiento de conexiones no validadas con sitios que utilicen SSL

Seleccione idioma Seleccione idioma
Id. de artículo: 834438 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

El certificado anterior de la entidad emisora de certificados VeriSign 128-bit International (Global) Server Intermediate caducó el 7 de enero de 2004. Esto puede causar problemas a los clientes que intentan establecer conexiones de Nivel de socket seguro (SSL) autenticadas por el servidor con servidores Web y con otras aplicaciones habilitadas para SSL/Seguridad de capa de transporte (TLS) que no tienen certificados actualizados.

Para prevenir estos problemas, los operadores de Servicios de Internet Information Server de Microsoft deben ponerse en contacto con VeriSign para actualizar los certificados de la autoridad emisora intermedia para los servidores que utilizan SSL de 128 bits en las conexiones con sitios Web con Protocolo seguro de transferencia de hipertexto.

Impacto

Los clientes no pueden establecer conexiones protegidas por SSL con servidores Web que no tengan certificados actualizados.

Recomendación

Instale la versión actualizada del certificado VeriSign intermedio.

Software afectado

  • Microsoft Internet Information Server
  • Microsoft Internet Security and Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

Detalles técnicos

Descripción técnica

VeriSign mantiene muchos certificados y listas de revocación de certificados (CRL) que están caducando o han caducado. Esto no es infrecuente. Típicamente, los certificados y las CRL son de vida corta por diseño. Sin embargo, a veces los certificados se emiten de nuevo para darles una vida más larga. Aunque generalmente esto no es un problema, puede crearlos en los servidores que usan nivel de socket seguro (SSL) como protección de las sesiones que conectan con sus recursos.

Si un operador de servidor instala un certificado SSL de VeriSign, junto con los correspondientes certificados de la autoridad de emisión de certificados, y posteriormente el operador de servidor renueva el certificado SSL mediante VeriSign, el operador deberá comprobar al mismo tiempo que los certificados emitidos intermedios están actualizados.

Si desea instalar los certificados actualizados, visite el siguiente sitio Web de VeriSign para obtener las versiones más recientes de estos certificados y para conocer los pasos de instalación:
https://www.verisign.com/support/site/caReplacement.html

Información adicional

La validación de un certificado X.509 implica varias fases. Estas fases incluyen el descubrimiento de la ruta de acceso y la validación de la ruta de acceso.

El descubrimiento de la ruta de acceso es el proceso de determinar si un certificado fue emitido por una entidad emisora válida. Puede usar para ello muchas técnicas, incluyendo las siguientes:
  • Los clientes suelen mantener una memoria caché de certificados intermedios. Un certificado intermedio es el que ha demostrado su utilidad parea determinar si un certificado fue emitido recientemente por una autoridad emisora de certificados raíz válida.

    Los certificados pueden contener extensiones que proporcionan punteros a la información adicional relevante. Un ejemplo de este tipo es la extensión Acceso a la información de entidad emisora (AIA). La extensión AIA puede contener un puntero al emisor del certificado.

    Nota
    No todos los certificados contienen este puntero, en lo que se incluye a los certificados VeriSign implicados en este problema. Microsoft ha colaborado y seguirá colaborando activamente con los emisores de certificados para estimularles a incluir esta información en los certificados que emitan en el futuro. Para obtener más información acerca de esta extensión, consulte la Solicitud de comentarios (RFC) 3280 del Grupo de trabajo de ingeniería de Internet (IETF).
  • Los servidores pueden proporcionar la información adicional al cliente. SSL es un ejemplo de esta técnica. Durante la negociación SSL, el servidor proporciona al cliente su propio certificado y los certificados que el servidor ha determinado que puede usar el cliente para determinar la identidad del servidor.

La validación de la ruta de acceso es el proceso de verificar la ruta de acceso descubierta. La validación de la ruta de acceso incluye la verificación cifrada de cada firma de un certificado. La validación de la ruta de acceso también implica la verificación de las directivas forzadas por el emisor. Esas directivas incluyen:
  • ¿Cree el emisor que el certificado en cuestión sigue siendo válido y sigue bajo el control de la persona para la que se emitió originalmente? Frecuentemente a este comportamiento se le da la denominación de ?comprobación de revocación de certificados?. Para realizar esta verificación, Windows admite un objeto cifrado, una lista de revocación de certificados (CRL).
  • ¿Se utilizó el certificado para el propósito con el que fue emitido? Por ejemplo, no debe confiarse en un certificado que fue emitido para el correo electrónico para afirmar que un servidor Web está asociado con un nombre de dominio específico (como se hizo en SSL).
  • ¿Son válidos los certificados en cuanto al tiempo? La duración del certificado se limita por razones de seguridad. Un emisor no puede certificar que un individuo o un recurso tenga una identidad particular durante más tiempo del que el emisor sigue siendo considerado de confianza.

Preguntas más frecuentes

¿Es una vulnerabilidad de la seguridad?

No. No se trata de una vulnerabilidad de la seguridad en ninguno de los productos afectados. El problema se debe exclusivamente a la caducidad de un certificado digital de terceros.

¿Cuál es el alcance del problema?

Recientemente, VeriSign, Inc., una importante entidad emisora de certificados, renovó su certificación ?VeriSign International Server CA - Class 3? con certificados que tienen un período mayor de validez. Si los operadores de servidor Web renovaron sus certificados SSL después de ésta renovación, sus clientes pueden experimentar problemas al intentar validar que sus servidores Web están asociados actualmente con sus organizaciones.

¿Cómo se resuelve el problema?

Puede resolverlo actualizando manualmente el certificado de la autoridad emisora de certificados (CA) intermedios en cada servidor Web. Para obtener este certificado, visite el siguiente sitio Web de VeriSign:
https://www.verisign.com/support/site/caReplacement.html
Si es un problema del servidor, ¿por qué experimentan el problema los clientes?

El problema se produce cuando un cliente trata de establecer una conexión de seguridad mejorada con un servidor Web. Como parte del proceso de establecimiento de la conexión, el servidor devuelve muchos certificados al cliente. El cliente usa estos certificados para validar el certificado del servidor. En este caso ha caducado una de las autoridades emisoras de certificados intermedia (la CA ?VeriSign International Server CA - Class 3?). Este certificado intermedio no es válido. Por tanto, el explorador muestra al usuario un mensaje de advertencia que explica que no se pudo establecer una conexión de seguridad mejorada.

¿Están implicados en el problema los certificados de Microsoft?

No. Estos certificados son emitidos por VeriSign, Inc, que tiene su titularidad. VeriSign participa en un programa que es mantenido por Microsoft. En este programa, proveedores terceros de confianza ayudan a asegurar el comercio en Internet para los usuarios de Microsoft. Para obtener más información acerca de este programa, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/news/rootcert.mspx
¿Qué autoridades de certificación participan en el programa de certificados raíz de Microsoft?

Para obtener una lista de los terceros de confianza actuales habilitados para el Microsoft Root Program, visite el siguiente sitio Web de Microsoft:
http://msdn2.microsoft.com/en-us/library/ms995347.aspx
¿Sigue actualizando Microsoft los certificados que usa Microsoft Internet Explorer?

Sí. Como parte del Microsoft Root Program, la lista de autoridades raíz de confianza se puede actualizar trimestralmente. Para los usuarios de Microsoft Windows XP y Microsoft Windows Server 2003, esta actualización se produce en el motor de validación en cadena cuando se presenta un certificado en el que no se confía. Cuando se produce este comportamiento, se contacta con Windows Update para verificar que el certificado se ha agregado al programa raíz. Para los clientes anteriores a Windows XP, se publicó en Windows Update un paquete recomendado para la descarga manual. Microsoft recomienda a las empresas que tomen sus propias decisiones acerca de los terceros de confianza en los que quieren que confíen los usuarios de la empresa.

Nota
Las actualizaciones que proporciona Microsoft Root Program no resuelven los problemas que plantea la caducidad de los certificados VeriSign intermedios.

Solución

Para resolver el problema, actualice a la versión más reciente de VeriSign International Server Intermediate CA el certificado de CA intermedio almacenado en cada uno de sus servidores.

Referencias

Para obtener más información acerca de cómo CryptoAPI genera cadenas de certificados y valida el estado de revocación, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/crypto/tshtcrl.mspx

Soporte técnico

Para obtener una lista completa de los números de teléfono de los Servicios de soporte técnico de Microsoft, así como información acerca de los costos del soporte técnico, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
Nota
En casos especiales, los costos derivados de las llamadas al soporte técnico pueden cancelarse si un profesional de soporte técnico de Microsoft determina que una actualización específica resolverá el problema. Los costos habituales de soporte se aplicarán a las preguntas y temas de soporte técnico adicionales que no reúnan las condiciones necesarias para la actualización en cuestión.

Recursos de seguridad

Para obtener más información acerca de la seguridad en los productos Microsoft, visite el siguiente sitio Web de Microsoft TechNet:
http://www.microsoft.com/technet/security/default.mspx

Exclusión de garantías

La información incluida en Microsoft Knowledge Base se proporciona "como está", sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, expresas o implícitas, lo que incluye las garantías implícitas de comerciabilidad e idoneidad para un fin determinado. En ningún caso Microsoft Corporation o sus proveedores serán responsable de ningún daño, incluyendo los daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios empresariales o daños especiales, incluso aunque Microsoft Corporation o sus proveedores hayan sido advertidos de la posibilidad de esos daños. Algunos Estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que las limitaciones anteriores pueden no ser aplicables.

Propiedades

Id. de artículo: 834438 - Última revisión: martes, 04 de diciembre de 2007 - Versión: 5.3
La información de este artículo se refiere a:
  • Servicios de Microsoft Internet Information Server 6.0
  • Servicios de Microsoft Internet Information Server 5.0
  • Microsoft Internet Information Server 4.0
Palabras clave: 
kbinfo KB834438

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com