Uppdatera VeriSign-webbservercertifikat nu för IIS: Ett utgånget mellanliggande VeriSign-certifikat kan resultera i icke-validerade anslutningar till webbplatser där SSL används

Artikelöversättning Artikelöversättning
Artikel-id: 834438 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

Sammanfattning

Föregående VeriSign 128-bitars International (Global) Server Intermediate certifikatutfärdarcertifikat gick ut den 7 januari 2004. Detta kan orsaka problem för klienter som försöker upprätta serverautentiserade SSL-anslutningar (Secure Socket Layer) till webbservrar och andra program med SSL/TLS-funktion (Transport Layer Security) som saknar uppdaterade certifikat.

För att förebygga dessa problem ska Microsoft IIS-ansvariga (Internet Information Services) kontakta VeriSign för att uppdatera mellanliggande certifikatutfärdarcertifikat för servrar där 128-bitars SSL används för att ansluta till webbplatser med Secure Hypertext Transfer Protocol.

Konsekvenser

Klienter kan inte upprätta SSL-skyddade anslutningar till webbservrar utan uppdaterade certifikat.

Rekommendation

Installera den uppdaterade versionen av det mellanliggande VeriSign-certifikatet.

Program som berörs

  • Microsoft Internet Information Server
  • Microsoft Internet Security and Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

Teknisk information

Teknisk beskrivning

VeriSign underhåller många certifikat och CRL:er (Certificate Revocation Lists) som håller på att gå ut eller redan har gått ut. Detta är inte ovanligt. Normalt har certifikat och CRL:er avsiktligt kort livslängd. Certifikat ges emellertid ibland ut igen för att få längre livslängd. Detta är i allmänhet inte något problem, men det kan uppstå problem med servrar där SSL (Secure Socket Layer) används för att skydda sessioner som ansluter till sina resurser.

Om en serveransvarig installerar ett SSL-certifikat från VeriSign, tillsammans med relevanta certifikat från det utfärdande certifikatorganet, och den serveransvarige senare förnyar SSL-certifikatet genom VeriSign, måste den serveransvarige se till att mellanliggande certifikat uppdateras samtidigt.

Om du vill installera de uppdaterade certifikaten kan du få de senaste versionerna av certifikaten och information om installation på följande VeriSign-webbplats:
https://www.verisign.com/support/site/caReplacement.html

Mer information

Validering av ett X.509-certifikat omfattar flera faser. Här ingår upptäckt av sökväg och validering av sökväg.

Upptäckt av sökväg innebär att fastställa om ett certifikat har utfärdats av en giltig enhet. Du kan använda många metoder för detta, däribland följande:
  • Klienter har ofta en cache med mellanliggande certifikat. Ett mellanliggande certifikat är ett certifikat som har visat sig användbart för att fastställa om ett certifikat i sista hand har utfärdats av en giltig rotcertifikatutfärdare.

    Certifikat kan innehålla tillägg som utgör pekare till ytterligare relevant information. Ett exempel på ett sådant tillägg är AIA-tillägget (Authoritative Information Access). AIA-tillägget kan innehålla en pekare till certifikatutfärdaren.

    Obs! Inte alla certifikat innehåller denna pekare, inte heller VeriSign-certifikaten som berörs av det här problemet. Microsoft har arbetat och kommer att arbeta aktivt för att certifikatutfärdare ska ta med denna information i framtida certifikat. Mer information om det här tillägget finns i Internet Engineering Task Force (IETF) Request for Comments (RFC) 3280.
  • Servrar kan ge ytterligare informationen till klienten. SSL är ett exempel på denna teknik. Vid SSL-förhandlingen får klienten serverns eget certifikat och certifikat som kan användas för att fastställa serverns identitet.

Sökvägsvalidering innebär verifiering av den upptäckta sökvägen och inbegriper kryptografisk verifiering av varje signatur i ett certifikat. Sökvägsvalidering inbegriper också verifiering av att utfärdarens principer genomdrivs. Sådana principer är:
  • Anser utfärdaren att det aktuella certifikatet fortfarande är giltigt och kontrolleras av personen det ursprungligen utfärdades till? Detta kallas ofta återkallningskontroll. Windows stöder ett kryptografiskt objekt, en CRL (Certificate Revocation List), för denna verifiering.
  • Används certifikatet för ett syfte som utfärdaren avsåg? Ett certifikat som har utfärdats för e-post ska till exempel inte användas för att bekräfta att en webbserver är associerad med ett visst domännamn (som i SSL).
  • Gäller certifikaten fortfarande? Certifikatens livslängd är begränsad av säkerhetsskäl. En utfärdare kan inte intyga att en individ eller resurs har en viss identitet längre än den tid som utfärdaren betraktas som tillförlitlig.

Vanliga frågor

Är detta ett säkerhetsproblem?

Nej. Det är inte ett säkerhetsproblem i någon av de berörda produkterna. Problemet uppstår bara på grund av att en tredje parts digitala certifikat går ut.

Vilken omfattning har problemet?

Nyligen har VeriSign, Inc., en viktig certifikatutfärdare, förnyat ?VeriSign International Server CA - Class 3? med certifikat som har en längre giltighetstid. Om webbserveransvariga förnyar sina SSL-certifikat efter detta förnyande kan deras kunder få problem när de försöker bekräfta att deras webbservrar verkligen är associerade med deras organisationer.

Hur löses problemet?

Du kan lösa det här problemet genom att manuellt uppdatera det mellanliggande CA-certifikatet (Certification Authority) på varje webbserver. Certifikatet kan hämtas på följande VeriSign-webbplats:
https://www.verisign.com/support/site/caReplacement.html
Om detta är ett serverproblem, varför drabbar det då klienter?

Problemet uppstår när en klient försöker upprätta en anslutning med utökad säkerhet till en webbserver. I samband med att anslutningen upprättas, överförs många certifikat från servern tillbaka till klienten. Klienten använder certifikaten för att validera serverns certifikat. I det här fallet har en av de mellanliggande certifikatutfärdarna (?VeriSign International Server CA - Class 3? CA) gått ut. Detta mellanliggande certifikat är inte giltigt. Därför visas en varning för användaren om att en anslutning med utökad säkerhet inte kunde upprättas.

Berörs Microsoft-certifikat?

Nej. Dessa certifikat utfärdas och ägs av VeriSign, Inc. VeriSign deltar i ett program som drivs av Microsoft. I programmet kan moduler från andra tillverkare för kontroll av förtroenden bidra till att säkra Internet-handel för Microsoft-kunder. Mer information om programmet finns på följande Microsoft-webbplats:
http://www.microsoft.com/technet/security/news/rootcert.mspx
Vilka certifikatutfärdare deltar i Microsoft Root Program?

En lista över tillförlitliga tredje parter som har kvalificerat sig för Microsoft Root Program finns på följande Microsoft-webbplats:
http://msdn2.microsoft.com/en-us/library/ms995347.aspx
Uppdaterar Microsoft fortfarande certifikaten som används i Microsoft Internet Explorer?

Ja. Inom ramen för Microsoft Root Program kan listan över tillförlitliga rotutfärdare uppdateras varje kvartal. För användare av Microsoft Windows XP och Microsoft Windows Server 2003 sker uppdateringen i kedjevalideringsmotorn när denna får ett certifikat som inte förefaller tillförlitligt. I sådana fall kontaktas Windows Update för att det ska fastställas om certifikatet har lagts till i Root Program. På klienter med tidigare operativsystem än Windows XP publiceras ett rekommenderat paket på Windows Update för manuellt hämtning. Microsoft rekommenderar företag att fatta egna beslut om vilka tillförlitliga tredje parter användare i företaget ska lita på.

Obs! Uppdateringar från Microsoft Root Program löser inte problemen som uppstår genom att mellanliggande VeriSign-certifikat går ut.

Lösning

Lös problemet genom att uppdatera lagret med mellanliggande certifikatutfärdarcertifikat på alla servrar till den senaste versionen av VeriSign International Server Intermediate CA.

Referenser

Mer information om hur CryptoAPI bygger upp certifikatkedjor och validerar återkallningsstatus finns på följande Microsoft-webbplats:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/crypto/tshtcrl.mspx

Support

En fullständig lista över telefonnummer till Microsoft Support och information om supportkostnader finns på följande Microsoft-webbplats:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
Obs! I vissa fall kan supporten vara avgiftsfri, om t.ex. en supporttekniker kommer fram till att problemet kan lösas med en viss uppdatering. Normala supportavgifter tas ut för ytterligare supportfrågor och problem som inte gäller den aktuella uppdateringen.

Säkerhetsresurser

Mer information om säkerhet i Microsoft-produkter finns på följande Microsoft TechNet-webbplats:
http://www.microsoft.com/technet/security/default.mspx

Ansvarsfriskrivning

Informationen i Microsoft Knowledge Base tillhandahålls "i befintligt skick" utan några som helst garantier. Microsoft lämnar inga garantier, vare sig uttryckliga eller underförstådda, inklusive garantier avseende produktens allmänna lämplighet och/eller lämplighet för ett särskilt ändamål. Microsoft Corporation eller dess leverantörer är under inga omständigheter skadeståndsskyldiga för några som helst skador, inklusive direkta, indirekta skador eller följdskador samt förlust av affärsvinster eller speciella skador, även om Microsoft Corporation eller dess leverantörer har underrättats om möjligheten av sådana skador. Vissa stater tillåter inte uteslutande eller begränsning av skadeståndsskyldighet för följdskador eller indirekta skador, så föregående begränsning gäller kanske inte.

Egenskaper

Artikel-id: 834438 - Senaste granskning: den 4 december 2007 - Revision: 5.3
Informationen i denna artikel gäller:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
Nyckelord: 
kbinfo KB834438

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com