Обновление серверных сертификатов компании VeriSign для служб IIS: использование просроченных промежуточных сертификатов компании VeriSign может сделать невозможной проверку подключений SSL

Переводы статьи Переводы статьи
Код статьи: 834438 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Срок действия прежнего 128-разрядного международного серверного сертификата модуля промежуточной аттестации от компании VeriSign истек 7 января 2004 г. Это может послужить причиной неполадок в работе клиентов, которые устанавливают подключения SSL с проверкой на сервере к веб-серверам и другим приложениям с поддержкой SSL/TLS (Secure Sockets Layer/Transport Layer Security), которые не располагают новой версией сертификата.

В целях предотвращения подобных проблем операторам служб IIS (Microsoft Internet Information Services) следует обратиться в компанию VeriSign для обновления сертификата модуля промежуточной аттестации для серверов, которые используют 128-разрядный протокол SSL при подключении к веб-узлам по протоколу HTTPS (Secure Hypertext Transfer Protocol).

Последствия

Клиенты не смогут устанавливать подключения SSL к веб-серверам, которые не имеют обновленных сертификатов.

Рекомендация

Установите обновленный промежуточный сертификат компании VeriSign.

Уязвимое программное обеспечение

  • Microsoft Internet Information Server
  • Microsoft Internet Security and Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

Технические подробности

Описание

Компания VeriSign обслуживает многие сертификаты и списки отзыва сертификатов (CRL), срок действия которых истекает или уже истек. Это стандартная ситуация. Недолговечность является особенностью сертификатов и списков CRL. Однако в определенных случаях сертификаты выпускаются повторно для продления срока их использования. При этом возможны затруднения, связанные с эксплуатацией серверов, которые используют протокол SSL для защиты установленных к ним подключений.

Если оператор сервера устанавливает сертификат SSL компании VeriSign вместе с соответствующими сертификатами модуля аттестации, а затем получает от компании VeriSign обновление для сертификата SSL, он должен одновременно обновить сертификаты модуля промежуточной аттестации.

Для получения обновленных версий сертификатов, а также инструкций по их установке обратитесь на веб-узел компании VeriSign по адресу:
https://www.verisign.com/support/site/caReplacement.html

Дополнительные сведения

Проверка сертификата X.509 проходит в несколько этапов, в число которых входят определение пути и проверка пути.

При определении пути проверяется, имела ли выдавшая сертификат организация право на это. Для этого в том числе используются следующие методики.
  • Часто клиенты хранят промежуточные сертификаты в кэше. Промежуточный сертификат — это сертификат, который был использован для определения того, имела ли исходная аттестационная организация соответствующие полномочия.

    Сертификаты могут содержать расширения с указателями на дополнительные данные. Одним из них является расширение AIA (Authoritative Information Access). Расширение AIA может содержать указатель на выдавшую сертификат организацию.

    Примечание. Не все сертификаты (включая рассматриваемые сертификаты VeriSign) содержат этот указатель. Корпорация Microsoft прилагает активные усилия для того, чтобы в будущем издатели включали эти данные в выпускаемые сертификаты. Для получения дополнительных сведений см. спецификацию RFC 3280 группы IETF (Internet Engineering Task Force).
  • Дополнительные сведения клиентам могут предоставлять серверы. Протокол SSL является примером такого механизма. В процессе согласования по протоколу SSL сервер предоставляет клиенту свой собственный сертификат, а также сертификаты, которые по выбору сервера клиент может использовать для определения подлинности сервера.

Проверка пути — это процесс, который включает криптографическую проверку каждой подписи сертификата, а также проверку соблюдения намерений издателя. К числу таких намерений относят следующие.
  • Верит ли издатель, что данный сертификат все еще действителен и управляется лицом, которому он первоначально был выдан? Часто такое поведение называется «проверка отзыва сертификатов». Для проведения такой проверки в Windows реализована поддержка криптографического объекта (список отзыва сертификатов).
  • Используется ли сертификат в целях, для которых он был выпущен? Например, выпущенный для электронной почты сертификат не должен приниматься как доказательство того, что веб-серверу сопоставлено определенное имя домена (как в SSL).
  • Не истек ли срок действия сертификата? По соображениям безопасности срок службы сертификатов ограничен. Издатель не может удостоверять подлинность лица или ресурса дольше, чем это предусмотрено сроком действия сертификата.

Часто задаваемые вопросы

Является ли описанная проблема уязвимостью системы безопасности?

Нет. Данная проблема не представляет собой уязвимости в системе безопасности какого-либо из перечисленных ранее продуктов, а возникает по причине истечения срока действия цифрового сертификата стороннего производителя.

Каковы возможные масштабы проблемы?

Недавно компания VeriSign, Inc., которая является основным органом по выпуску сертификатов, продлила срок действия сертификатов своего модуля аттестации «VeriSign International Server CA - Class 3». Если после этого оператор веб-узла обновил сертификаты SSL, клиенты узла могут столкнуться с проблемами при попытке подтвердить, что их веб-серверы действительно сопоставлены их организациям.

Как устранить эту проблему?

Для устранения проблемы необходимо на каждом веб-сервере вручную обновить сертификат модуля промежуточной аттестации. Для получения этого сертификата обратитесь к веб-узлу компании VeriSign по адресу:
https://www.verisign.com/support/site/caReplacement.html
Если сертификат устанавливается на сервере, почему проблемы возникают у клиентов?

Проблема возникает, когда клиент пытается установить безопасное подключение к серверу. При этом сервер отправляет клиенту несколько сертификатов. Клиент использует их для подтверждения подлинности сертификата сервера. В данной ситуации истек срок использования одного из модулей промежуточной аттестации («VeriSign International Server CA - Class 3»), следовательно, этот промежуточный сертификат недействителен. По этой причине обозреватель сообщает пользователю о невозможности установить безопасное подключение.

Имеет ли рассмотренная проблема отношение к сертификатам корпорации Microsoft?

Нет. Выпускает и владеет этими сертификатами компания VeriSign, Inc. Данная компания участвует в программе корпорации Microsoft по обеспечению безопасности торговых операций клиентов корпорации Microsoft в Интернете. Для получения дополнительных сведений об этой программе обратитесь к веб-узлу корпорации Microsoft по адресу:
http://msdn2.microsoft.com/en-us/library/ms995347.aspx
Какие органы сертификации участвуют в программе Microsoft Root Program?

Список независимых разработчиков, которые в настоящее время являются участниками программы Microsoft Root Program, см. на следующей странице веб-узла корпорации Microsoft:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/news/rootcert.asp
Корпорация Microsoft все еще обновляет сертификаты, которые используются обозревателем Internet Explorer?

Да. В рамках программы Microsoft Root Program список прошедших проверку органов обновляется ежеквартально. Для пользователей Windows XP и Windows Server 2003 это обновление происходит в модуле цепной проверки, когда он встречает сертификат, которому не доверяет. В этом случае следует обращение на веб-узел Windows Update за сведениями о том, был ли сертификат добавлен в программу Microsoft Root Program. Для клиентов под управлением операционной системы более ранних версий необходимо загрузить соответствующий пакет с веб-узла Windows Update. Корпорация Microsoft рекомендует предприятиям самостоятельно определять независимые организации, которые пользуются их доверием.

Примечание. Обновления по программе Microsoft Root Program не предназначены для устранения рассмотренной в этой статье проблемы.

Решение

Для устранения проблемы установите на каждом сервере сертификат модуля промежуточной аттестации последней выпущенной компанией VeriSign версии.

Ссылки

Дополнительные сведения о создании интерфейсом CryptoAPI цепочек сертификатов и проверке состояния отзыва см. на следующей странице веб-узла корпорации Microsoft:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/crypto/tshtcrl.asp

Поддержка

Полный список телефонов служб поддержки, а также информация по условиям обслуживания находятся на веб-сервере корпорации Microsoft по адресу:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
Примечание. В отдельных случаях, если специалистом службы технической поддержки Microsoft будет определено, что решением проблемы является специально выпущенное исправление, оплата, предусмотренная за обращение в службы технической поддержки, может быть отменена. Дополнительные вопросы, не связанные с данным исправлением, решаются в соответствии со стандартными условиями.

Источники дополнительных сведений

Для получения дополнительных сведений об обеспечении безопасности продуктов корпорации Microsoft обратитесь к веб-узлу Microsoft TechNet по адресу:
http://www.microsoft.com/technet/security/default.asp

Заявление об отказе в предоставлении гарантии

Все сведения в статьях Microsoft Knowledge Base предоставляются «как есть», и корпорация Microsoft не дает каких-либо гарантий относительно этих сведений. Корпорация Microsoft не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в каких-либо целях. Ни при каких обстоятельствах корпорация Microsoft и ее поставщики не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, непрямой и специальный ущерб, а также упущенную выгоду, даже если корпорация Microsoft или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не имеют силы.

Свойства

Код статьи: 834438 - Последний отзыв: 4 декабря 2007 г. - Revision: 3.3
Информация в данной статье относится к следующим продуктам.
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
Ключевые слова: 
kbinfo KB834438

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com