Pilna aktualizacja certyfikatów firmy VeriSign na serwerze sieci Web z usługami IIS: Wygaśnięcie certyfikatu pośredniego VeriSign może powodować negatywny wynik sprawdzania poprawności połączeń z witrynami wykorzystującymi protokół SSL

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 834438 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Poprzedni 128-bitowy certyfikat międzynarodowy (globalny) serwera pośredniego urzędu certyfikacji firmy VeriSign wygasł 7 stycznia 2004. Może to powodować problemy dla klientów próbujących ustanowić połączenia uwierzytelniane przez serwer wykorzystujące protokół SSL z serwerami sieci Web i innymi aplikacjami obsługującymi protokół SSL/TLS, które nie mają aktualnych certyfikatów.

Aby zapobiec tym problemom, operatorzy Internetowych usług informacyjnych (IIS) firmy Microsoft powinni skontaktować się z firmą VeriSign w celu zaktualizowania certyfikatów pośrednich urzędów certyfikacji na serwerach, które wykorzystują 128-bitowy protokół SSL w celu łączenia się z witrynami sieci Web przez bezpieczny protokół HTTP.

Oddziaływanie

Niemożliwe jest ustanowienie przez klientów połączeń chronionych protokołem SSL z serwerami sieci Web nieposiadającymi zaktualizowanych certyfikatów.

Zalecenie

Zainstaluj zaktualizowaną wersję certyfikatu pośredniego firmy VeriSign.

Oprogramowanie objęte tym problemem

  • Microsoft Internet Information Server
  • Microsoft Internet Security and Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

Szczegóły techniczne

Opis techniczny

Firma VeriSign utrzymuje wiele certyfikatów i list odwołania certyfikatów, które wygasają lub wygasły. Jest to uzasadnione. Certyfikaty i listy odwołania certyfikatów są zazwyczaj krótkotrwałe ze swojej natury. Czasami jednak certyfikaty są wystawiane ponownie, aby okres ich ważności był dłuższy. Generalnie nie stanowi to problemu, chociaż może powodować trudności w przypadku serwerów posiłkujących się protokołem SSL do ochrony sesji, które łączą się z ich zasobami.

Jeśli operator serwera zainstalował certyfikat SSL firmy VeriSign wraz z odpowiednimi certyfikatami urzędu certyfikacji, który go wystawił, i następnie przedłuża ważność tego certyfikatu za pośrednictwem firmy VeriSign, musi dopilnować, aby jednocześnie zaktualizować certyfikaty instytucji pośredniczącej w certyfikacji.

Jeśli chcesz zainstalować zaktualizowane certyfikaty, odwiedź następującą witrynę firmy VeriSign w sieci Web, aby uzyskać najnowsze wersje tych certyfikatów i instrukcje ich instalowania:
https://www.verisign.com/support/site/caReplacement.html

Informacje dodatkowe

Sprawdzanie poprawności certyfikatu X.509 wymaga kilku faz. Fazy te obejmują wykrywanie ścieżki i sprawdzanie poprawności ścieżki.

Wykrywanie ścieżki to proces określenia, czy certyfikat został wystawiony przez prawidłową jednostkę. Do tego celu można użyć różnych technik, na przykład następujących:
  • Klienci często utrzymują bufor certyfikatów pośrednich. Certyfikat pośrednich to certyfikat, który okazał się przydatny do określenia, czy certyfikat został ostatecznie wystawiony przez prawidłowy główny urząd certyfikacji.

    Certyfikaty mogą zawierać rozszerzenia udostępniające wskaźniki do dodatkowych przydatnych informacji. Takim typem rozszerzenia jest na przykład rozszerzenie AIA (Authoritative Information Access). Rozszerzenie AIA może zawierać wskaźnik do wystawcy certyfikatu.

    Uwaga: Nie każdy certyfikat zawiera ten wskaźnik, w tym certyfikaty VeriSign, których dotyczy ten problem. Firma Microsoft prowadzi i będzie nadal prowadziła aktywne działania, aby dopingować wystawców certyfikatów do dołączania w przyszłości tych informacji do wystawianych przez nich certyfikatów. Więcej informacji o tym rozszerzeniu można znaleźć w specyfikacji RFC nr 3280 grupy IETF (Internet Engineering Task Force).
  • Dodatkowe informacje mogą zostać udostępnione klientom przez serwery. Przykładem tej techniki jest protokół SSL. W trakcie negocjacji SSL serwer udostępnia klientowi własny certyfikat oraz certyfikaty, które, jak określił serwer, pozwolą klientowi określić tożsamość serwera.

Sprawdzanie poprawności ścieżki to proces weryfikowania wykrytej ścieżki. Sprawdzanie poprawności ścieżki obejmuje kryptograficzną weryfikację poszczególnych podpisów na certyfikacie. Sprawdzanie poprawności ścieżki obejmuje także weryfikację, czy zasady wystawcy są egzekwowane. Do takich zasad należą następujące:
  • Czy wystawca uważa, że dany certyfikat jest wciąż ważny i wciąż znajduje się pod kontrolą osoby, na rzecz której został oryginalnie wystawiony? Zachowanie to określa się często jako „sprawdzanie odwołania certyfikatu”. System Windows obsługuje obiekt kryptograficzny — listę odwołania certyfikatów — potrzebny do dokonania tej weryfikacji.
  • Czy certyfikat jest używany do celu zgodnego z zamiarem wystawcy? Na przykład nie należy ufać certyfikatowi twierdzącemu, że dany serwer sieci Web jest skojarzony z określoną nazwą domeny (jak to się dzieje w protokole w SSL), jeśli został on wystawiony z myślą o poczcie e-mail.
  • Czy certyfikat jest aktualnie ważny? Okres ważności certyfikatu jest ograniczony ze względów bezpieczeństwa. Wystawca nie może certyfikować tożsamości danego zasobu lub osoby przez dłuższy czas, niż sam jest uważany za zaufanego.

Często zadawane pytania

Czy to jest luka w zabezpieczeniach?

Nie. To nie jest luka w zabezpieczeniach żadnego z produktów objętych problemem. Nie. Te certyfikaty są wystawiane przez firmę VeriSign, która jest ich posiadaczem. Uwaga: Aktualizacje dostarczane przez program Microsoft Root Program nie rozwiązują problemów wynikających z wygaśnięcia certyfikatu pośredniego firmy VeriSign. Problem wynika wyłącznie z wygaśnięcia certyfikatu cyfrowego innej firmy.

Jaki jest zakres problemu?

Niedawno firma VeriSign, która jest dużym urzędem certyfikacji, odnowiła swoją certyfikację urzędu certyfikacji „VeriSign International Server CA - Class 3” certyfikatami o dłuższym okresie ważności. Jeśli operatorzy serwerów sieci Web odnowili swoje certyfikaty SSL po tym odnowieniu, ich klienci mogą napotkać problemy, gdy będą próbowali potwierdzić, że te serwery sieci Web są faktycznie skojarzone z ich organizacjami.

Jakie jest rozwiązanie tego problemu?

Problem ten można rozwiązać ręcznie, aktualizując certyfikat pośredniego urzędu certyfikacji na każdym serwerze sieci Web. Aby uzyskać ten certyfikat, należy odwiedzić następującą witrynę firmy VeriSign w sieci Web:
https://www.verisign.com/support/site/caReplacement.html
Skoro jest to problem dotyczący serwera, czemu występuje na klientach?

Problem występuje, gdy klient próbuje ustanowić połączenie o wyższym poziomie zabezpieczeń z serwerem sieci Web. Częścią procesu ustanawiania połączenia jest przekazanie przez serwer różnych certyfikatów klientowi. Na podstawie tych certyfikatów klient sprawdza poprawność certyfikatu serwera. W tym przypadku jeden z certyfikatów pośredniego urzędu certyfikacji („VeriSign International Server CA - Class 3”) wygasł. Ten certyfikat pośredni stracił ważność. Dlatego przeglądarka wyświetla komunikat ostrzeżenia wyjaśniający użytkownikowi, że nie można ustanowić połączenia o wyższym poziomie zabezpieczeń.

Czy problem dotyczy certyfikatów firmy Microsoft?

Firma VeriSign jest uczestnikiem programu prowadzonego przez firmę Microsoft. W programie tym zewnętrzni dostawcy zaufania mogą pomagać klientom firmy Microsoft bezpiecznie dokonywać transakcji w handlu internetowym. Aby uzyskać więcej informacji o tym programie, należy odwiedzić następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/security/news/rootcert.mspx
Jakie urzędy certyfikacji uczestniczą w programie Microsoft Root Program?

Aby uzyskać listę zaufanych innych firm, które są aktualnie zakwalifikowane do programu Microsoft Root Program, należy odwiedzić następującą witrynę firmy Microsoft w sieci Web:
http://msdn2.microsoft.com/en-us/library/ms995347.aspx
Czy firma Microsoft wciąż aktualizuje certyfikaty wykorzystywane przez program Microsoft Internet Explorer?

Tak. W ramach programu Microsoft Root Program lista zaufanych głównych urzędów certyfikacji jest aktualizowana kwartalnie. U użytkowników systemów Microsoft Windows XP i Microsoft Windows Server 2003 aktualizacja ta odbywa się w aparacie łańcucha sprawdzania poprawności, gdy zostanie w nim przedstawiony certyfikat, któremu aparat nie ufa. Gdy wystąpi takie zachowanie, system kontaktuje się z usługą Windows Update w celu weryfikacji, czy certyfikat został dodany do programu Root Program. Dla komputerów klienckich z systemem starszym niż Windows XP zalecany pakiet jest opublikowany w usłudze Windows Update do ręcznego pobrania. Firma Microsoft zaleca, aby przedsiębiorstwa same podejmowały decyzje, którym zaufanym innym firmom ich użytkownicy mogą ufać.

Uwaga: Aktualizacje dostarczane przez program Microsoft Root Program nie rozwiązują problemów wynikających z wygaśnięcia certyfikatu pośredniego firmy VeriSign.

Rozwiązanie

Aby rozwiązać ten problem, zaktualizuj magazyn certyfikatu pośredniego urzędu certyfikacji na każdym z serwerów do najnowszej wersji certyfikatu „VeriSign International Server Intermediate CA”.

Materiały referencyjne

Aby uzyskać więcej informacji o tym, jak interfejs CryptoAPI konstruuje łańcuchy certyfikatów i sprawdza poprawność stanu odwołania, należy odwiedzić następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/security/guidance/cryptographyetc/tshtcrl.mspx

Pomoc techniczna

Aby uzyskać więcej informacji na temat dostępnych opcji pomocy technicznej oraz sposobu kontaktowania się z firmą Microsoft, odwiedź następującą witrynę w sieci Web:
http://support.microsoft.com/default.aspx?ln=PLdefault.aspx?scid=fh;PL;CNTACTMS

Zasoby dotyczące zabezpieczeń

Aby uzyskać więcej informacji o zabezpieczeniach w produktach firmy Microsoft, odwiedź następującą witrynę Microsoft TechNet w sieci Web:
http://www.microsoft.pl/technet/security/default.mspx

Zastrzeżenie

Informacje w bazie wiedzy Microsoft Knowledge Base są dostarczane „tak jak są” bez jakiejkolwiek gwarancji. Firma Microsoft nie udziela żadnych rękojmi wyrażonej wprost lub domyślnie, w tym także rękojmi co do przydatności handlowej i do określonego celu. Firma Microsoft ani jej dostawcy w żadnym wypadku nie ponoszą odpowiedzialności za jakiekolwiek szkody, w tym także szkody bezpośrednie, przypadkowe, wtórne, utratę zysków lub szkody specjalne, nawet jeżeli firma Microsoft była powiadomiona o możliwości powstania takich szkód. W niektórych krajach nie jest dozwolone wyłączenie lub ograniczenie odpowiedzialności za wtórne lub przypadkowe szkody, przez co powyższe ograniczenie może nie mieć zastosowania.

Właściwości

Numer ID artykułu: 834438 - Ostatnia weryfikacja: 4 grudnia 2007 - Weryfikacja: 5.4
Informacje zawarte w tym artykule dotyczą:
  • Internetowe usługi informacyjne Microsoft 6.0
  • Internetowe usługi informacyjne Microsoft 5.0
  • Microsoft Internet Information Server 4.0
Słowa kluczowe: 
kbinfo KB834438

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com