Oppdater sertifikater for VeriSign-webserver nå for IIS: Et utløpt midlertidig VeriSign-sertifikat kan føre til ikke-validerte koblinger til områder som bruker SSL

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 834438 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Sammendrag

Det forrige midlertidige sertifikatet for VeriSign 128-biters internasjonal (global) server fra sertifiseringsinstans utløp 7. januar 2004. Dette kan føre til problemer for klienter som prøver å opprette servergodkjente SSL-koblinger (Secure Socket Layer) til webservere og andre SSL/TLS-kompatible (Transport Layer Security) programmer som ikke har oppdaterte sertifikater.

Microsoft Internet Information Services-operatører (IIS) bør kontakte VeriSign for å oppdatere det midlertidige sertifikatet fra sertifiseringsinstans for servere som bruker 128-biters SSL til å koble til webområder med Secure Hypertext Transfer Protocol, slik at problemer unngås.

Innvirkning

Klienter kan ikke opprette SSL-beskyttede koblinger til webservere som ikke har oppdaterte sertifikater.

Anbefaling

Installer den oppdaterte versjonen av det midlertidige VeriSign-sertifikatet.

Programvare som påvirkes

  • Microsoft Internet Information Server
  • Microsoft Internet Security and Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

Tekniske detaljer

Teknisk beskrivelse

VeriSign opprettholder mange sertifikater og sertifikatopphevelseslister (CRLer) som utløper eller har utløpt. Dette er ikke uvanlig. Sertifikater og CRLer er vanligvis kortvarige. Sertifikater kan imidlertid noen ganger bli utstedt på nytt, slik at de får lengre levetid. Dette er vanligvis ikke et problem, men det kan føre til problemer med servere som bruker SSL (Secure Socket Layer) som hjelp til å beskytte økter som kobler til ressursene deres.

Hvis en serveroperatør installerer et SSL-sertifikat fra VeriSign, sammen med de relevante sertifikatene fra sertifiseringsinstans, og deretter fornyer SSL-sertifikatet gjennom VeriSign, må vedkommende kontrollere at de midlertidige utstedte sertifikatene oppdateres samtidig.

Hvis du vil installere de oppdaterte sertifikatene, går du til følgende webområde for VeriSign for å få tak i disse sertifikatene og for å få instrukser om hvordan du installerer dem:
https://www.verisign.com/support/site/caReplacement.html

Mer informasjon

Validering av et X.509-sertifikat består av flere faser. Disse fasene er søk etter bane og banevalidering.

Søk etter bane er prosessen der du finner ut om et sertifikat ble utstedt av en gyldig enhet. Du kan bruke mange teknikker til å gjøre dette, inkludert følgende:
  • Klienter opprettholder ofte en hurtigbuffer med midlertidige sertifikater. Et midlertidig sertifikat er et sertifikat som har vist seg nyttig når det gjelder å finne ut om et sertifikat til slutt ble utstedt av en gyldig rotsertifiseringsinstans.

    Sertifikater kan inneholde komponenter som peker til annen nyttig informasjon. Ett eksempel på denne typen komponent er AIA-komponenten (Authoritative Information Access). AIA-komponenten kan inneholde en peker til sertifikatets utsteder.

    Obs!  Ikke alle sertifikater inneholder denne pekeren, inkludert VeriSign-sertifikatene som her er involvert. Microsoft har arbeidet og vil fortsatt arbeide aktivt med sertifikatutstedere for å oppfordre dem til å inkludere denne informasjonen i sertifikater de utsteder i fremtiden. Hvis du vil ha mer informasjon om denne komponenten, kan du se RCF-dokument (Request for Comments) 3280, Internet Engineering Task Force (IETF).
  • Servere kan gi ytterligere informasjon til klienten. SSL er ett eksempel på denne teknikken. I SSL-forhandlingen gir serveren klienten et eget sertifikat, og sertifikatene serveren har funnet ut at klienten kan bruke til å fastslå serverens identitet.

Banevalidering er prosessen med å godkjenne banen som ble funnet. Banevalidering involverer kryptografisk godkjenning av hver enkelt signatur i et sertifikat. Banevalidering involverer også godkjenning av at utstederens retningslinjer er fulgt. Slike retningslinjer er blant annet:
  • Tror utstederen at det aktuelle sertifikatet fortsatt er gyldig og fortsatt er under kontroll av personen det opprinnelig ble utstedt til? Denne oppførselen kalles ofte "kontroll av sertifikatopphevelse". Windows støtter et kryptografisk objekt, en sertifikatopphevelsesliste (CRL), for utføring av denne godkjenningen.
  • Blir sertifikatet brukt til et formål som utstederen mente det skulle brukes til? Et sertifikat som ble utstedt for e-post, bør for eksempel ikke brukes til å klarere at en webserver er tilknyttet et bestemt domenenavn (slik det gjøres i SSL).
  • Er sertifikatene tidsgyldige? Sertifikatets levetid er av sikkerhetsgrunner begrenset. En utsteder kan ikke sertifisere at en enkeltperson eller ressurs har en bestemt identitet lenger enn utstederen regnes som klarert.

Vanlige spørsmål

Er dette en sikkerhetssårbarhet?

Nei. Dette er ikke en sikkerhetssårbarhet i noen av de påvirkede produktene. Problemet skyldes bare at et digitalt sertifikat fra tredjepart har utløpt.

Hva er omfanget av dette problemet?

VeriSign, Inc., en stor sertifiseringsinstans, fornyet nylig klassifiseringen ?VeriSign International Server CA - Class 3? med sertifikater som har en lengre gyldighetsperiode. Hvis webserveroperatører har fornyet SSL-sertifikatene sine etter denne fornyelsen, kan kundene få problemer når de prøver å validere at webserverne faktisk er tilknyttet organisasjonene deres.

Hvordan løses problemet?

Du kan løse dette problemet ved å oppdatere det midlertidige sertifikatet fra sertifiseringsinstansen manuelt på hver enkelt webserver. Du kan få tak i dette sertifikatet på følgende webområde for VeriSign:
https://www.verisign.com/support/site/caReplacement.html
Hvis dette er et serverproblem, hvorfor får da klientene problemer?

Problemet forekommer når en klient prøver å opprette en sikret kobling til en webserver. Som en del av prosessen med å opprette koblingen, sender serveren mange sertifikater tilbake til klienten. Klienten bruker disse sertifikatene til å godkjenne serverens sertifikat. I dette tilfellet har ett av de midlertidige sertifikatene fra sertifiseringsinstans (?VeriSign International Server CA - Class 3?) utløpt. Dette midlertidige sertifikatet er ikke gyldig. Leseren viser derfor en advarsel som forklarer brukeren at en sikret kobling ikke kan opprettes.

Er Microsoft-sertifikater involvert?

Nei. Disse sertifikatene utstedes og eies av VeriSign, Inc. VeriSign deltar i et program som ledes av Microsoft. I dette programmet kan klarerte tredjepartsleverandører hjelpe til med å sikre Internett-handelen for Microsoft-kunder. Hvis du vil ha mer informasjon om dette programmet, går du til følgende Microsoft-webområde:
http://www.microsoft.com/technet/security/news/rootcert.mspx
Hvilke sertifiseringsinstanser deltar i Microsofts rotprogram?

Hvis du vil ha en liste over de gjeldende klarerte tredjepartene som er kvalifisert for Microsofts rotprogram, går du til følgende Microsoft-webområde:
http://msdn2.microsoft.com/en-us/library/ms995347.aspx
Oppdaterer Microsoft fortsatt sertifikatene som Microsoft Internet Explorer bruker?

Ja. Som en del av Microsofts rotprogram, kan listen over klarerte rotinstanser bli oppdatert hvert kvartal. For brukere av Microsoft Windows XP og Microsoft Windows Server 2003 forekommer denne oppdateringen i kjedevalideringsmotoren når den får tilsendt et sertifikat som den ikke klarerer. Når dette skjer, kontaktes Windows Update for å bekrefte om sertifikatet er lagt til i rotprogrammet. På klienter tidligere enn Windows XP blir en anbefalt pakke publisert på Windows Update for manuell nedlasting. Microsoft anbefaler at foretakene fatter egne beslutninger når det gjelder hvilke klarerte tredjeparter de vil at brukerne i foretakene skal klarere.

Obs!  Oppdateringer som Microsofts rotprogram leverer, vil ikke ta seg av problemer som oppstår gjennom utløp av midlertidige VeriSign-sertifikater.

Løsning

Du løser dette problemet ved å oppdatere det midlertidige sertifikatet fra sertifiseringsinstans på hver av serverne dine til den siste versjonen av det midlertidige VeriSign-sertifikatet for internasjonal server.

Referanser

Hvis du vil ha mer informasjon om hvordan CryptoAPI bygger sertifikatkjeder og godkjenner opphevelsesstatus, går du til følgende Microsoft-webområde:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/crypto/tshtcrl.mspx

Støtte

Hvis du vil ha en fullstendig liste over telefonnumre til Microsofts kundestøttetjenester og informasjon om kundestøttekostnader, går du til følgende Microsoft-webområde:
http://support.microsoft.com/contactus/?ws=support
Obs!  I spesielle tilfeller kan kostnader som vanligvis pådras for kundestøttesamtaler, bli avskrevet hvis en medarbeider hos Microsofts kundestøttetjenester finner ut at en bestemt oppdatering vil løse problemet. De vanlige kundestøttekostnadene vil gjelde for ytterligere spørsmål og problemer som ikke kvalifiserer for den aktuelle oppdateringen.

Sikkerhetsressurser

Hvis du vil ha mer informasjon om sikkerhet i Microsoft-produkter, går du til følgende webområde for Microsoft TechNet:
http://www.microsoft.com/norge/technet/security_overview.mspx

Ansvarsfraskrivelse

Informasjonen i Microsoft Knowledge Base utgis som den er, uten garantier av noe slag. Microsoft fraskriver seg alle direkte og indirekte garantier, inkludert garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft eller Microsofts leverandører fraskriver seg ethvert erstatningsansvar for skader, herunder erstatning for tap av fortjeneste, forretningsavbrudd, tap av forretningsinformasjon eller andre økonomiske tap, også i tilfeller der Microsoft er underrettet om muligheten for slike skader. Ettersom enkelte jurisdiksjoner ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.

Egenskaper

Artikkel-ID: 834438 - Forrige gjennomgang: 4. desember 2007 - Gjennomgang: 5.3
Informasjonen i denne artikkelen gjelder:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
Nøkkelord: 
kbinfo KB834438

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com