Actualize certificados de servidores da Web da VeriSign para o IIS agora: um certificado intermédio expirado da VeriSign pode resultar em ligações não validadas a sites que utilizam SSL

Traduções de Artigos Traduções de Artigos
Artigo: 834438 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

O certificado de 128 bits anterior da autoridade de certificação intermediária de servidores (global) da VeriSign International expirou em 7 de Janeiro de 2004. Este facto poderá provocar problemas em clientes que tentem estabelecer ligações autenticadas pelo servidor através da camada segura de sockets (SSL, Security Sockets Layer) a servidores da Web e outras aplicações com capacidades SSL/segurança da camada de transporte (TLS, Transport Layer Security) que não tenham certificados actualizados.

Para evitar estes problemas, os operadores de Microsoft IIS (Serviços de informação Internet - Internet Information Services) devem contactar a VeriSign para actualizar os certificados, de autoridades de certificação intermediárias, de servidores que utilizem SSL de 128 bits para estabelecer ligação a Web sites com o protocolo seguro de transferência de hipertexto (HTTPS, Secure Hypertext Transfer Protocol).

Impacto

Os clientes não conseguem estabelecer ligações protegidas por SSL a servidores da Web que não tenham certificados actualizados.

Recomendação

Instale a versão actualizada do certificado intermédio da VeriSign.

Software afectado

  • Microsoft Internet Information Server
  • Microsoft Internet Security and Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

Detalhes técnicos

Descrição técnica

A VeriSign mantém muitos certificados e listas de revogação de certificados (CRLs, certificate revocation lists) que estão a expirar ou já expiraram. Esta situação não é invulgar. Normalmente, os certificados e as CRLs têm, por predefinição, uma duração bastante curta. No entanto, os certificados são, por vezes, reemitidos para prolongar a respectiva validade. Esta situação normalmente não constitui um problema, mas pode criar problemas em servidores que utilizem SSL para ajudar a proteger sessões que estabeleçam ligação aos respectivos recursos.

Se um operador de servidor instalar um certificado de SSL da VeriSign, juntamente com os certificados relevantes da autoridade de certificação emissora, e posteriormente renovar o certificado de SSL através da VeriSign, o operador do servidor terá de certificar-se de que os certificados de emissão intermédia são actualizados na mesma altura.

Se pretender instalar os certificados actualizados, visite o seguinte Web site da VeriSign para obter as versões mais recentes destes certificados e os passos para os instalar:
https://www.verisign.com/support/site/caReplacement.html

Informações adicionais

A validação de um certificado X.509 envolve várias fases. Estas fases incluem a localização do caminho e a validação do caminho.

A localização do caminho é o processo pelo qual se determina se um certificado foi emitido por uma entidade válida. Pode utilizar muitas técnicas para este efeito, incluindo as seguintes:
  • Os clientes mantêm, com frequência, uma cache de certificados intermédios. Um certificado intermédio é um certificado que demonstrou ser útil na determinação da emissão de um certificado por uma autoridade de certificação de raiz válida.

    Os certificados poderão conter extensões que forneçam apontadores para informações adicionais relevantes. A extensão Authoritative Information Access (AIA) é um exemplo deste tipo de extensões. A extensão AIA poderá conter um apontador para o emissor do certificado.

    Nota: nem todos os certificados contêm este apontador, incluindo os certificados da VeriSign envolvidos neste problema. A Microsoft tem estado, e continuará, a trabalhar activamente com emissores de certificados para os encorajar a incluir estas informações em certificados emitidos no futuro. Para obter mais informações sobre esta extensão, consulte o pedido de comentários (RFC, Request for Comments) 3280 da Internet Engineering Task Force (IETF).
  • Os servidores podem fornecer as informações adicionais ao cliente. A SSL é um exemplo desta técnica. Na negociação de SSL, o servidor fornece ao cliente um certificado próprio e os certificados que o servidor tenha determinado que o cliente pode utilizar para estabelecer a identidade do servidor.

A validação do caminho é o processo de verificação do caminho localizado. Este processo envolve a verificação criptográfica de cada assinatura de um certificado. Também envolve a verificação da aplicação das políticas do emissor. Exemplos de políticas:
  • O emissor acredita que o certificado em questão ainda é válido e ainda está em poder da pessoa para quem foi originalmente emitido? Este comportamento é frequentemente referido como ?verificação da revogação de certificados?. O Windows suporta um objecto criptográfico, uma CRL, para efectuar esta verificação.
  • O certificado está a ser utilizado para a finalidade para a qual foi emitido? Por exemplo, um certificado emitido para correio electrónico não deve ser considerado fidedigno para avaliar se um servidor da Web está associado a um nome de domínio específico (como é efectuado na SSL).
  • Os certificados estão dentro do período de validade? A validade dos certificados é restrita por razões de segurança. Um emissor não pode certificar que um indivíduo ou um recurso tem uma determinada identidade por um período mais longo do que aquele em que o emissor é considerado fidedigno.

Perguntas mais frequentes

Isto é uma vulnerabilidade de segurança?

Não. Isto não constitui uma vulnerabilidade de segurança em nenhum dos produtos afectados. O problema decorre apenas da expiração de um certificado digital de terceiros.

Qual o âmbito do problema?

Recentemente, a VeriSign, Inc., uma das principais autoridades de certificação, renovou a respectiva autoridade de certificação ?VeriSign International Server CA - Class 3? com certificados que têm um período de validade mais longo. Se os operadores de servidores da Web tiverem renovado os respectivos certificados de SSL após esta renovação, os respectivos clientes poderão detectar problemas quando tentarem validar a associação efectiva dos respectivos servidores da Web às respectivas organizações.

Como se resolve este problema?

Pode resolver este problema actualizando manualmente o certificado intermédio da autoridade de certificação (AC) em cada servidor da Web. Para obter este certificado, visite o seguinte Web site da VeriSign:
https://www.verisign.com/support/site/caReplacement.html
Se este é um problema do servidor, porque detectam os clientes o problema?

O problema ocorre quando um cliente tenta estabelecer uma ligação com segurança melhorada a um servidor da Web. Como parte do processo de estabelecimento da ligação, o servidor passa muitos certificados ao cliente. O cliente utiliza estes certificados para validar o certificado do servidor. Neste caso, uma das autoridades de certificação intermédia (a AC ?VeriSign International Server CA - Class 3?) expirou. Este certificado intermédio não é válido. Por este motivo, o browser apresenta uma mensagem de aviso ao utilizador a explicar que não foi possível estabelecer uma ligação com segurança melhorada.

Os certificados da Microsoft estão envolvidos?

Não. Estes certificados são emitidos e são propriedade da VeriSign, Inc. A VeriSign participa num programa mantido pela Microsoft. Neste programa, outros fornecedores de fidedignidade podem ajudar a proteger o comércio através da Internet para clientes da Microsoft. Para obter mais informações sobre este programa, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/news/rootcert.mspx
Quais as autoridades de certificação que participam no Microsoft Root Program?

Para obter uma lista das entidades actualmente consideradas fidedignas que cumprem os requisitos para participar no Microsoft Root Program, visite o seguinte Web site da Microsoft:
http://msdn2.microsoft.com/en-us/library/ms995347.aspx
A Microsoft ainda actualiza os certificados utilizados pelo Microsoft Internet Explorer?

Sim. Como parte integrante do Microsoft Root Program, a lista de autoridades de raiz fidedignas pode ser actualizada trimestralmente. Para os utilizadores do Microsoft Windows XP e Microsoft Windows Server 2003, esta actualização ocorre no motor de validação da cadeia quando lhe é fornecido um certificado que não seja considerado fidedigno. Quando este comportamento ocorre, o Windows Update é contactado para verificar se o certificado foi adicionado ao Root Program. Em clientes com sistemas anteriores ao Windows XP, um pacote recomendado é disponibilizado no Windows Update para transferência manual. A Microsoft recomenda que as empresas decidam por si mesmas quais as entidades terceiras fidedignas que pretendem que os respectivos utilizadores considerem fidedignas.

Nota: as actualizações fornecidas pelo Microsoft Root Program não corrigirão os problemas provocados pela perda de validade do certificado intermédio da VeriSign.

Resolução

Para resolver este problema, actualize o arquivo de certificados intermédios da AC em todos os servidores com a versão mais recente da VeriSign International Server Intermediate CA.

Referências

Para obter mais informações sobre como a CryptoAPI cria cadeias de certificados e valida estados de revogação, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/crypto/tshtcrl.asp

Suporte

Para obter uma lista completa dos números de telefone do suporte técnico da Microsoft, bem como informações sobre os custos de suporte, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
Nota: em casos especiais, os custos normalmente inerentes às chamadas de suporte poderão ser anulados se um técnico de suporte da Microsoft determinar que uma actualização específica resolverá o problema. Os custos normais do suporte serão aplicados a problemas e questões de suporte adicionais, não incluídos na actualização específica em questão.

Recursos de segurança

Para obter mais informações sobre segurança relativamente aos produtos da Microsoft, visite o seguinte Web site da Microsoft TechNet:
http://www.microsoft.com/technet/security/default.mspx

Exclusão de responsabilidade

As informações fornecidas na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base) são fornecidas "tal como estão", sem nenhum tipo de garantia. A Microsoft não oferece quaisquer garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em nenhum caso serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais, consequentes, prejuízos por perda de lucros negociais ou prejuízos extraordinários, ainda que a Microsoft ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por prejuízos incidentais ou consequentes, pelo que a limitação referida supra pode não ser aplicável.

Propriedades

Artigo: 834438 - Última revisão: 4 de dezembro de 2007 - Revisão: 5.3
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 6.0
  • Serviços de informação Internet 5.0 da Microsoft
  • Microsoft Internet Information Server 4.0
Palavras-chave: 
kbinfo KB834438

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com