Atualize Agora os Certificados de Servidor Web VeriSign para IIS: Um certificado intermediário VeriSign expirado pode resultar em conexões não validadas para sites que usam SSL

Traduções deste artigo Traduções deste artigo
ID do artigo: 834438 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

O certificado de autoridade de certificação Intermediária de Servidor (Global) Internacional de 128 bit VeriSign anterior expirou em 7 de janeiro de 2004. Isso pode causar problemas para clientes que tentam estabelecer conexões de SSL (secure socket layer) autenticadas em servidor com servidores Web e outros aplicativos habilitados por SSL/TLS (Transport Layer Security) que não têm certificados atualizados.

Para evitar esses problemas, os operadores do Microsoft Internet Information Services (IIS) devem contatar a VerySign para atualizar os certificados intermediários de autoridade de certificação para servidores que usam um SSL de 128 bit para conectar-se aos sites Web com o Secure Hypertext Transfer Protocol.

Impacto

Os clientes não conseguem estabelecer conexões protegidas por SSL com os servidores Web que não têm certificados atualizados.

Recomendação

Instale a versão atualizada do certificado intermediário VeriSign.

Software afetado

  • Microsoft Internet Information Server
  • Microsoft Internet Security and Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

Detalhes técnicos

Descrição técnica

A VeriSign mantém muitos certificados e listas de revogação de certificados que estão expirando ou já expiraram. Isso não é incomum. Tipicamente, os certificados e as listas de revogação de certificados têm curta duração por padrão. Entretanto, às vezes os certificados são re-emitidos para proporcionar-lhes um tempo mais longo. Geralmente isso não é um problema, mas pode criar problemas com servidores que usam o SSL para ajudar a proteger sessões que se conectam a seus recursos.

Se um operador de servidor instalar um certificado de SSL da VeriSign, juntamente com os certificados relevantes de autoridade de certificação emitidos, e renovar posteriormente o certificado de SSL pela VeriSign, ele deverá certificar-se de que os certificados intermediários emitidos sejam atualizados ao mesmo tempo.

Se desejar instalar os certificados atualizados, visite o seguinte site da VeriSign na Web para obter as versões mais recentes desses certificados e os passos para instalá-las:
https://www.verisign.com/support/site/caReplacement.html

Informações adicionais

A validação de um certificado X.509 envolve várias fases. Essas fases incluem descoberta do caminho e validação do caminho.

A descoberta do caminho é o processo para determinar se um certificado foi emitido por uma entidade válida. Você pode usar muitas técnicas para fazer isso, incluindo o seguinte:
  • Os clientes freqüentemente mantêm um cache de certificados intermediários. Um certificado intermediário é um certificado que comprovou ser útil ao determinar se um certificado foi recentemente emitido por uma autoridade de certificação de origem válida.

    Os certificados podem conter extensões que fornecem indicadores para informações relevantes adicionais. Um exemplo desse tipo de extensão é a extensão AIA (Authoritative Information Access). A extensão AIA pode conter um indicador para o emissor do certificado.

    Nota Nem todos os certificados contêm esse indicador, incluindo os certificados VeriSign envolvidos nessa questão. A Microsoft trabalhou e continuará trabalhando ativamente com os emissores de certificado para encorajá-los a incluir estas informações nos certificados a serem emitidos no futuro. Para obter informações adicionais sobre essa extensão, consulte Internet Engineering Task Force (IETF) Request for Comments (RFC) 3280.
  • Os servidores podem fornecer as informações adicionais ao cliente. O SSL é um exemplo dessa técnica. Na negociação de SSL, o servidor fornece ao cliente seu próprio certificado e os certificados que o servidor determinou que o cliente pode usar para descobrir a identidade do servidor.

A validação de caminho é o processo de verificação do caminho descoberto. A validação de caminho envolve a verificação criptográfica de cada assinatura em um certificado. A validação de caminho também envolve verificar se as diretivas do emissor foram impostas. Essas diretivas incluem:
  • O emissor acredita que o certificado em questão ainda seja válido e continua sob o controle da pessoa que originalmente o emitiu? Esse comportamento é freqüentemente conhecido como "verificação de revogação de certificado". O Windows suporta um objeto criptográfico, uma lista de revogação de certificados, para executar essa verificação.
  • O certificado está sendo usado para o fim pretendido pelo emissor? Por exemplo, um certificado emitido por e-mail não deve ser usado para declarar que um servidor Web está associado a um nome de domínio específico (como é feito no SSL).
  • Os certificados estão no prazo de validade? A validade do certificado é restrita por razões de segurança. Um emissor não pode confiar que um indivíduo ou um recurso tenha uma identidade particular por muito mais tempo do que aquela considerada por ele confiável.

Perguntas mais freqüentes

Isso é uma vulnerabilidade de segurança?

Não. Não é uma vulnerabilidade de segurança em qualquer um dos produtos afetados. O problema resulta somente devido à expiração do certificado digital de terceiro.

O que é o escopo do problema?

Recentemente, a VeriSign, Inc., a maior autoridade de certificação, renovou a autoridade de certificação "VeriSign International Server CA - Classe 3" com certificados que têm um prazo de validade muito longo. Se os operadores de servidor Web renovaram os certificados de SSL após essa renovação, os clientes poderão ter problemas ao tentar validar os servidores Web realmente associados às suas organizações.

Como o problema é resolvido?

Você pode resolver esse problema ao atualizar manualmente o certificado intermediário de autoridade de certificação em cada servidor Web. Para obter esse certificado, visite o seguinte site da VeriSign na Web:
https://www.verisign.com/support/site/caReplacement.html
Se é um problema de servidor, por que os clientes sofrem com o problema?

O problema ocorre quando um cliente tenta estabelecer uma conexão de segurança elevada com um servidor Web. Como parte do processo de estabelecimento da conexão, o servidor passa muitos certificados de volta para o cliente. O cliente usa esses certificados para validar o certificado do servidor. Nesse caso, uma das autoridades de certificado intermediário (a autoridade de certificação ?VeriSign International Server CA - Classe 3?) expirou. Esse certificado intermediário não é válido. Portanto, o navegador exibe uma mensagem de aviso para o usuário explicando que uma conexão de segurança elevada não pôde ser estabelecida.

Os certificados da Microsoft estão envolvidos?

Não. Esses certificados são emitidos e pertencem a VeriSign, Inc. A VeriSign participa de um programa mantido pela Microsoft. Nesse programa, os fornecedores confiáveis de terceiros podem ajudar na segurança do comércio da Internet para clientes da Microsoft. Para obter informações adicionais sobre esse programa, visite o seguinte site da Microsoft na Web:
http://msdn2.microsoft.com/en-us/library/ms995347.aspx
Quais autoridades de certificado participam no Microsoft Root Program?

Para uma lista de terceiros confiáveis atuais qualificados para o Microsoft Root Program, visite o seguinte site da Microsoft na Web:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/news/rootcert.asp
A Microsoft ainda atualiza os certificados que o Microsoft Internet Explorer usa?

Sim. Como parte do Microsoft Root Program, a lista de autoridades de origem confiável pode ser atualizada trimestralmente. Para usuários do Microsoft Windows XP e do Microsoft Windows Server 2003, essa atualização ocorre na máquina de validação em cadeia quando um certificado apresentado não é considerado confiável. Quando esse comportamento ocorre, a Atualização do Windows é contatada para verificar se o certificado foi adicionado ao Root Program. Em clientes pré-Windows XP, um pacote recomendado é publicado na Atualização do Windows para download manual. A Microsoft recomenda que as empresas tomem suas próprias decisões sobre em quais terceiros confiáveis seus funcionários podem confiar.

Nota As atualizações que o Microsoft Root Program fornece não encaminharão as questões levantadas pela Expiração do Certificado Intermediário VeriSign.

Resolução

Para resolver essa questão, atualize o armazenamento do certificado intermediário de autoridade de certificação em cada um dos servidores usando a versão mais recente da Autoridade de Certificação Intermediária de Servidor Internacional VeriSign.

Referências

Para obter informações adicionais sobre como a CryptoAPI constrói cadeias de certificados e valida o status de revogação, visite o seguinte site da Microsoft na Web:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/crypto/tshtcrl.asp

Suporte

Para obter uma lista completa dos números de telefone do Serviço de Suporte ao Produto Microsoft e informações sobre os custos de suporte, visite o seguinte site da Microsoft na Web:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
Nota Em alguns casos, as taxas cobradas pelas chamadas de suporte podem ser canceladas se um Profissional de Suporte da Microsoft determinar que uma atualização específica resolverá o problema. Os custos de suporte comuns serão aplicados às questões e problemas de suporte adicionais não qualificados para a atualização específica em questão.

Recursos de segurança

Para obter informações adicionais sobre a segurança dos produtos da Microsoft, visite o seguinte site da Microsoft TechNet na Web:
http://www.microsoft.com/technet/security/default.asp

Declaração

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são fornecidas "como são" sem qualquer tipo de garantia. A Microsoft declara todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e para um propósito em particular. Em nenhum momento a Microsoft Corporation ou seus fornecedores será responsável por quaisquer danos, sejam eles quais for, incluindo diretos, indiretos, eventuais, conseqüentes, perda de lucros comerciais ou danos especiais, mesmo se a Microsoft Corporation ou seus fornecedores tiver sido avisada sobre a possibilidade de tais danos. Alguns estados não permitem a exclusão ou a limitação de responsabilidade por danos conseqüentes ou eventuais; assim, a limitação anterior poderá não se aplicar.

Propriedades

ID do artigo: 834438 - Última revisão: terça-feira, 4 de dezembro de 2007 - Revisão: 3.4
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
Palavras-chave: 
kbinfo KB834438

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com