Az IIS rendszerben használt VeriSign webkiszolgáló-tanúsítványok azonnali frissítést igényelnek: A lejárt VeriSign középszintű tanúsítványok megakadályozhatják az SSL-védelmet alkalmazó webhelyekhez való csatlakozást

A cikk fordítása A cikk fordítása
Cikk azonosítója: 834438 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

A VeriSign korábbi, 128 bites International (Global) Server Intermediate típusú hitelesítésszolgáltatói tanúsítványai 2004. január 7-én lejártak. Ez problémát okozhat azokon az ügyfélszámítógépeken, amelyek kiszolgáló által hitelesített SSL-kapcsolatot próbálnak létesíteni olyan webkiszolgálókkal vagy más, SSL/Transport Layer Security (TLS) védelmet használó alkalmazásokkal, amelyek nem rendelkeznek a legfrissebb tanúsítványokkal.

E problémák kiküszöbölése érdekében a Microsoft Internet Information Services (IIS) operátoroknak javasoljuk, hogy a VeriSign cégnél frissíttessék középszintű hitelesítésszolgáltatói tanúsítványaikat azokon a kiszolgálókon, amelyek 128 bites SSL-kapcsolattal csatlakoznak Secure Hypertext Transfer Protocol protokollt használó webhelyekhez.

Hatás

Az ügyfélszámítógépek nem tudnak SSL-kapcsolatot létesíteni olyan webhelyekkel, amelyek nem rendelkeznek friss tanúsítvánnyal.

Javaslat

Telepítse a VeriSign középszintű tanúsítvány frissített verzióját.

Érintett szoftverek

  • Microsoft Internet Information Server
  • Microsoft Internet Security and Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

Technikai részletek

Technikai leírás

A VeriSign számos olyan tanúsítványt és CRL (visszavont tanúsítványok listája) listát tart fenn, amely hamarosan lejár vagy már lejárt. Ez a gyakorlat nem ritka. Általában a tanúsítványokat és CRL-eket szándékosan rövid életűre tervezik. Egyes esetekben azonban a tanúsítványok élettartamát újraérvényesítéssel meghosszabbítják. Ez általában nem jelent gondot, ám olyan kiszolgálók esetében előfordulhat probléma, amelyek az erőforrásaikhoz csatlakozó munkamenetek védelmét SSL segítségével biztosítják.

Ha a kiszolgáló működtetője telepít egy a VeriSign-től származó SSL-tanúsítványt a hozzá tartozó kibocsátási tanúsítványokkal együtt, majd később a VeriSign-nél megújíttatja az SSL-tanúsítványt, gondoskodnia kell arról, hogy ezzel egyidőben a középszintű kibocsátási tanúsítványok frissítése is megtörténjen.

Ha telepíteni szeretné a frissített tanúsítványokat, a legújabb verziókat és a telepítési instrukciókat a VeriSign webhely következő címén találja:
https://www.verisign.com/support/site/caReplacement.html

További tudnivalók

Az X.509 típusú tanúsítványok érvényesítése több fázisból álló folyamat. E fázisok közé tartozik az útvonalfelmérés és az útvonal-érvényesítés.

Az útvonalfelmérés annak kiderítésére szolgál, hogy a tanúsítványt érvényes entitás bocsátotta-e ki. Ez a felmérés többféle módszerrel végezhető el, például a következővel:
  • Az ügyfélszámítógépek sok esetben középszintű tanúsítványaikat egy erre kijelölt tárban tartják fenn. A középszintű tanúsítványok olyan tanúsítványok, amelyek hasznosnak bizonyultak annak megállapításában, hogy egy adott tanúsítványt valóban egy érvényes legfelsőbb szintű hitelesítésszolgáltató bocsátott-e ki.

    A tanúsítványok tartalmazhatnak olyan kiterjesztéseket, melyeken keresztül további vonatkozó információ érhető el. Az ilyen típusú kiterjesztések egy példája az Authoritative Information Access (AIA) kiterjesztés. Az AIA-kiterjesztés tartalmazhat egy a tanúsítvány kibocsátójához vezető mutatót.

    Megjegyzés Nem minden tanúsítványban található meg ez a mutató, így az itt leírt problémában szerepet játszó VeriSign-tanúsítványokban sem. A Microsoft a tanúsítványkibocsátó szervezeteknél – azokkal aktívan együttműködve – igyekszik elérni, hogy a jövőben általuk kibocsátandó tanúsítványokban helyezzék el ezt az adatot. Ha szeretne többet megtudni erről a kiterjesztésről, olvassa el az Internet Engineering Task Force (IETF) 3280-as számú RFC-kérelmét.
  • Az ügyfeleket a kiszoglálók is elláthatják a kiegészítő információval. Ennek az eljárásnak egy példája az SSL. Az SSL-adategyeztetés során az ügyfélszámítógépet a kiszolgáló látja el saját tanúsítványával, valamint azokkal a kiszolgáló által meghatározott tanúsítványokkal, amelyeket az ügyfél a kiszolgáló identitásának megállapítására használhat.

Az útvonal-érvényesítés a felmért útvonal érvényességének az ellenőrzése. Az útvonal-érvényesítés a vizsgált tanúsítványon szereplő aláírások kriptográfiai ellenőrzését foglalja magában. A folyamat emellett azt is ellenőrzi, hogy a kibocsátó által megállapított szabályok érvényben vannak-e. Ilyen szabály lehet a következő:
  • Meg van-e győződve a kibocsátó arról, hogy a kérdéses tanúsítvány jelenleg is érvényes és az eredeti tulajdonos birtokában van? Ez az eljárást gyakran nevezik „tanúsítvány-visszavonási ellenőrzésnek”. Ez az ellenőrzés egy a Windows által támogatott kriptográfiai objektum, a CRL (visszavont tanúsítványok listája) felhasználásával történik.
  • A tanúsítványt arra a célra használják fel, amelyet a kibocsátó meghatározott? Például egy e-mail üzenetekhez kibocsátott tanúsítvány nem adhat hiteles megerősítést arról, hogy (az SSL eljárásnak megfelelően) egy webkiszolgáló egy bizonyos tartománynévvel van-e társítva.
  • Lejárati idejét tekintve érvényes-e a tanúsítvány? A tanúsítványok élettartamát biztonsági okokból korlátozzák. A kibocsátó csak addig tanúsíthatja egy személy vagy erőforrás identitásának valódiságát, amíg ő maga megbízhatónak számít.

Gyakran feltett kérdések

Az itt leírt probléma egy biztonsági rés?

Nem. A probléma az érintett programok egyikében sem jelent biztonsági sérülékenységet. A probléma csupán amiatt jelentkezik, hogy egy harmadik fél digitális tanúsítványa túllépi lejárati idejét.

Milyen kiterjedésű a probléma?

A VeriSign, Inc., az egyik legnagyobb hitelesítő szervezet, nemrégiben hosszabb élettartamú tanúsítványokkal újította meg „VeriSign International Server CA - Class 3” hitelesítésszolgáltatóját. Azoknál a webkiszolgálóknál, amelyek működtetői ezt a megújítást követően megújították SSL-tanúsítványaikat, a kiszolgálót igénybe vevő ügyfelek problémát észlelhetnek, amikor ellenőrizni próbálják, hogy webkiszolgálójuk ténylegesen a szervezetükkel vannak-e társítva.

Hogyan oldható meg ez a probléma?

A probléma megszüntetéséhez manuálisan kell frissítenie minden webkiszolgálón a középszintű hitelesítésszolgáltatói tanúsítványokat. E tanúsítványt a VeriSign webhely következő címén szerezheti be:
https://www.verisign.com/support/site/caReplacement.html
Ha a kiszolgálóval van probléma, akkor az ügyfélszámítógépeken miért jelentkezik?

A probléma akkor jelentkezik, amikor egy ügyfélszámítógép védelemmel ellátott kapcsolatot próbál létesíteni a webkiszolgálóval. A kapcsolat létrehozása során a kiszolgáló számos tanúsítványt küld vissza az ügyfélnek. Az ügyfél e tanúsítványok segítségével ellenőrzi a kiszolgálói tanúsítvány érvényességét. Esetünkben a középszintű tanúsítványok szolgáltatóinak egyike (a „VeriSign International Server CA - Class 3” hitelesítésszolgáltató) lejárt. A hozzá tartozó középszintű tanúsítvány nem érvényes. Ezért a böngésző figyelmeztető üzenetben tájékoztatja a felhasználót arról, hogy nem sikerült létrehozni a biztonságos kapcsolatot.

A probléma Microsoft-tanúsítványokat is érint?

Nem. Az érintett tanúsítványok tulajdonosa és kibocsátója a VeriSign, Inc. A VeriSign cég egy a Microsoft által fenntartott programban vesz részt. A programban részt vevő külső bizalomszolgáltatók azon munkálkodnak, hogy a Microsoft ügyfelei számára biztonságossá tegyék az internetes kereskedelmet. A programról a Microsoft következő webhelyén talál további információt:
http://msdn2.microsoft.com/en-us/library/ms995347.aspx
Mely hitelesítésszolgáltatók vesznek részt a Microsoft Root Program elnevezésű programban?

A Microsoft Root Programban való részvételre kvalifikált megbízható külső szolgáltatók aktuális listáját a Microsoft következő webhelyén találja: A Microsoft továbbra is frissíti a Microsoft Internet Explorer által használt tanúsítványokat?

Igen. A Microsoft Root Program részeként a megbízható legfelsőbb szintű hitelesítésszolgáltatók listája negyedévenként frissíthető. A Microsoft Windows XP és a Microsoft Windows Server 2003 rendszeren ez a frissítés a láncérvényesítőben történik meg akkor, amikor az nem megbízható tanúsítvánnyal találkozik. Ekkor a rendszer a Windows Update webhely segítségével ellenőrzi, hogy a tanúsítvány a Root Program résztvevője-e. A Windows XP-nél korábbi rendszert futtató ügyfelek számára a Windows Update webhelyről manuálisan letölthető egy ajánlott frissítéscsomag. A Microsoft azt javasolja a vállalatoknak, hogy maguk határozzák meg, mely megbízható külső cégeket szeretnék felhasználóik számára megbízhatóként feltüntetni.

Megjegyzés A Microsoft Root Program által közzétett frissítések nem szüntetik meg a VeriSign középszintű tanúsítványainak lejártával kapcsolatos problémát.

A megoldás

Ezt a problémát úgy szüntetheti meg, ha minden egyes kiszolgálón a VeriSign International Server Intermediate hitelesítésszolgáltató legújabb verziójára frissíti a középszintű hitelesítésszolgáltatói tanúsítványok tárolóját.

Hivatkozások

A Microsoft következő webhelyén részletes ismertetést olvashat arról, hogy a CryptoAPI hogyan hozza létre a tanúsítványláncokat és ellenőrzi a visszavonási állapot érvényességét:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/crypto/tshtcrl.asp

Támogatás

A Microsoft terméktámogatási szolgáltatások telefonszámainak teljes listáját és a támogatási díjakra vonatkozó információkat a Microsoft következő webhelyén találja:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
Megjegyzés: Bizonyos esetekben a telefonos támogatásért felszámított díjak elengedhetők, amennyiben a Microsoft támogatási szakembere megállapítja, hogy egy adott frissítés megoldja a szóban forgó problémát. A további, támogatással kapcsolatos, de nem a kérdéses frissítéshez kapcsolódó kérdésekre a szokásos támogatási díjak érvényesek.

Biztonsággal kapcsolatos források

A Microsoft termékeiben megvalósított biztonsági szolgáltatásokról a Microsoft TechNet következő webhelyén talál bővebb információt:
http://www.microsoft.com/technet/security/default.asp

Felelősséget kizáró nyilatkozat

A Microsoft Tudásbázisban szereplő információkat a cég a jelen formájukban teszi közzé, bármiféle garanciavállalás nélkül. A Microsoft elhárít mindennemű kifejezett vagy vélelmezett felelősséget, ideértve a forgalmazhatóságot és adott célra való alkalmasságot szavatoló garanciákat is. A Microsoft Corporation és szállítói semmilyen esetben sem vállalnak felelősséget az esetleges károkért – ideértve a közvetlen, közvetett, véletlen vagy járulékos károkat, valamint az üzleti haszon elmaradásából származó és a különleges károkat –, akkor sem, ha a Microsoft Corporationt vagy szállítóit tájékoztatták az ilyen károk bekövetkeztének a lehetőségéről. Egyes országokban nem engedélyezett a járulékos vagy véletlen károkért való felelősség kizárása vagy korlátozása; ez esetben a fent leírt korlátozás nem érvényes.

Tulajdonságok

Cikk azonosítója: 834438 - Utolsó ellenőrzés: 2007. december 4. - Verziószám: 5.3
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
Kulcsszavak: 
kbinfo KB834438
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com