ปรับปรุงเดี๋ยว VeriSign เว็บ Server ใบรับรองนี้สำหรับ IIS: ใบรับรองระดับกลาง VeriSign การหมดอายุสามารถทำไม่ได้ผ่านการตรวจสอบการเชื่อมต่อไปยังไซต์โดยใช้ SSL

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 834438 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

ก่อนหน้าระดับ VeriSign 128 บิตสากล (Global) เซิร์ฟเวอร์ปานกลางใบรับรองผู้รับรองหมดอายุใน 7 วัน 2004 ซึ่งอาจทำให้เกิดปัญหาสำหรับเครื่องไคลเอนต์ที่พยายามสร้างการเชื่อมต่อชั้น (SSL) การรับรองความถูกต้องเซิร์ฟเวอร์ซ็อกเก็ตปลอดภัยกับเว็บเซิร์ฟเวอร์และโปรแกรมประยุกต์อื่น ๆ SSL/TLS ความปลอดภัยเลเยอร์การขนส่งใช้โปรแกรมที่ไม่มีใบรับรองที่ปรับปรุงล่าสุด

เมื่อต้องการป้องกันไม่ให้เกิดปัญหาเหล่านี้ ตัวดำเนินการบริการข้อมูลทางอินเทอร์เน็ตของ Microsoft (IIS) ควรติดต่อ VeriSign เพื่อปรับปรุงใบรับรองผู้มีสิทธิ์ออกใบรับรองระดับกลางสำหรับเซิร์ฟเวอร์ที่ใช้ SSL 128 บิตเพื่อเชื่อมต่อกับเว็บไซต์มีการรักษาความปลอดภัย Hypertext Transfer Protocol

Impact

ไคลเอ็นต์ไม่สามารถสร้างการเชื่อมต่อที่มีการป้องกันด้วย SSL กับเว็บเซิร์ฟเวอร์ที่ไม่มีใบรับรองที่ปรับปรุง

คำแนะนำ

ติดตั้งใบรับรองระดับกลางของ VeriSign รุ่นที่ปรับปรุง

ซอฟต์แวร์ที่ได้รับผลกระทบ

  • เซิร์ฟเวอร์ข้อมูลทางอินเทอร์เน็ตของ Microsoft
  • Microsoft Internet Security และ Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

รายละเอียดทางเทคนิค

รายละเอียดทางเทคนิค

verisign เก็บรักษาหลายใบรับรองและใบรับรองรายการเพิกถอน (CRLs) ที่ expiring หรือที่หมดอายุแล้ว นี่ไม่ uncommon โดยทั่วไป ใบรับรองและ CRLs ได้ short-lived โดยการออกแบบ อย่างไรก็ตาม ใบรับรองได้ในบางครั้ง re-issued เพื่อให้ช่วงอายุการใช้งานที่ยาวขึ้น นี่คือโดยทั่วไปจะไม่มีปัญหา แต่จะสามารถสร้างการตัดสินค้าจากคลังกับเซิร์ฟเวอร์ที่ใช้เลเยอร์ของซ็อกเก็ตที่ปลอดภัย (SSL) เพื่อช่วยปกป้องเซสชันที่เชื่อมต่อกับทรัพยากรของตนเอง

หากติดตัวดำเนินการเซิร์ฟเวอร์ตั้งใบรับรอง SSL จาก VeriSign พร้อมกับใบเกี่ยวข้องออกใบรับรองผู้รับรอง และจากนั้น ดำเนินการเซิร์ฟเวอร์ในภายหลัง renews ใบรับรอง SSL ผ่าน VeriSign การดำเนินการเซิร์ฟเวอร์ต้องมั่นใจว่า มีการปรับปรุงใบรับรองที่ออกกลางในเวลาเดียวกัน

ถ้าคุณต้องการติดตั้งใบรับรองที่ปรับปรุง แวะไปที่ไซต์ของเว็บ VeriSign ต่อไปนี้ สำหรับรุ่นล่าสุดของใบรับรองเหล่านี้ และขั้นตอนการติดตั้ง:
https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=S:SO7094

Additional information:

การตรวจสอบใบรับรอง x.509 แบบหลายระยะที่เกี่ยวข้องกับ รวมระยะเหล่านี้การค้นหาเส้นทางและการตรวจสอบเส้นทาง.

การค้นหาเส้นทางเป็นกระบวนการที่กำหนดว่าใบรับรองที่ออก โดยหน่วยงานที่ถูกต้อง คุณสามารถใช้เทคนิคต่าง ๆ ที่มีการทำเช่นนี้ รวมถึงต่อไปนี้:
  • ไคลเอนต์รักษาแคของบ่อยครั้งใบรับรองระดับกลาง. ใบรับรองระดับกลางมีใบรับรองที่มี proven ประโยชน์ในการกำหนดว่าใบรับรองสุดออก โดยผู้มีสิทธิ์ออกใบรับรองหลักที่ถูกต้อง

    ใบรับรองอาจประกอบด้วยส่วนขยายที่มีตัวชี้ไปยังข้อมูลเพิ่มเติมที่เกี่ยวข้อง ตัวอย่างหนึ่งของส่วนขยายชนิดนี้มีส่วนขยายมีสิทธิ์ข้อมูลการเข้าถึง (AIA) ส่วนขยาย AIA อาจประกอบด้วยตัวชี้ไปยังผู้อนุมัติใบรับรอง

    หมายเหตุ:ใบรับรองทั้งหมดที่ไม่ประกอบด้วยตัวชี้นี้ รวมทั้งใบรับรองของ VeriSign ที่เกี่ยวข้องในปัญหานี้ Microsoft ได้ และจะยังคงทำงานกำลัง ด้วยใบรับรอง issuers เพื่อสนับสนุนให้การรวมข้อมูลนี้ในใบรับรองที่จะออกในอนาคต สำหรับข้อมูลเพิ่มเติมเกี่ยวกับส่วนขยายนี้ ให้ดูที่ร้องขออินเทอร์เน็ต Engineering บังคับใช้งาน (IETF) สำหรับข้อคิดเห็น (RFC) 3280
  • เซิร์ฟเวอร์สามารถให้ข้อมูลเพิ่มเติมไปยังไคลเอนต์ ssl คือ ตัวอย่างหนึ่งของเทคนิคนี้ ในการเจรจา SSL เซิร์ฟเวอร์ให้ไคลเอนต์กับใบรับรองของตนเองและใบรับรองได้ว่า เซิร์ฟเวอร์ได้ระบุว่า ไคลเอนต์สามารถใช้การตรวจสอบข้อมูลเฉพาะตัวของเซิร์ฟเวอร์

การตรวจสอบเส้นทางคือ กระบวนการตรวจสอบเส้นทางที่พบ การตรวจสอบเส้นทางที่เกี่ยวข้องกับการตรวจสอบแต่ละลายเซ็นบนใบรับรองการเข้ารหัสลับ ตรวจสอบเส้นทางจะเกี่ยวกับการตรวจสอบว่า มีการบังคับใช้นโยบายของผู้ออกใบรับรอง นโยบายเช่นรวม:
  • มีผู้ออกใบรับรองที่เชื่อว่า ใบรับรองการสอบถามจะยังคงถูกต้อง และอยู่ภายใต้การควบคุมของบุคคลจะมีการเริ่มต้นออกไปยังหรือไม่ ลักษณะการทำงานนี้ถูกเรียกบ่อย ๆ ว่า “ใบรับรองการยกเลิกตรวจ ” windows สนับสนุนวัตถุตัวเข้ารหัสลับ การยกเลิกรายการใบรับรอง (CRL), การดำเนินการตรวจสอบนี้
  • ใบรับรองมีการใช้เพื่อวัตถุประสงค์ที่ผู้ออกใบรับรองที่มีไว้เพื่อจะใช้สำหรับหรือไม่ ตัวอย่างเช่น ใบรับรองที่ออกสำหรับอีเมลที่ไม่ควรเชื่อถือ assert ว่า เว็บเซิร์ฟเวอร์เกี่ยวข้องกับชื่อโดเมนที่ระบุ (เป็นเสร็จใน SSL)
  • มีใบรับรองเวลาที่ถูกต้องหรือไม่ spans อายุใบรับรองจะ constrained เหตุผลด้านความปลอดภัย ผู้ออกใบรับรองที่ไม่สามารถรับรองว่า บุคคลหรือทรัพยากรมีการระบุเฉพาะสำหรับอีกต่อไปที่ผู้อนุมัติที่ถือว่าจะเชื่อถือได้

คำถามที่ถามบ่อย

นี่เป็นช่องโหว่การรักษาความปลอดภัยหรือไม่

หมายเลข ไม่ช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ที่ได้รับผลกระทบใด ๆ The problem results only because of the expiration of a third party’s digital certificate.

What’s the scope of the problem?

Recently, VeriSign, Inc., a major certification authority, renewed their “VeriSign International Server CA - Class 3” certification authority with certificates that have a longer validity period. If Web server operators renewed their SSL certificates after this renewal, their customers may experience problems when they try to validate that their Web servers are actually associated with their organizations.

How is the issue resolved?

You can resolve this issue by manually updating the intermediate certification authority (CA) certificate on each Web server. To obtain this certificate, visit the following VeriSign Web site:
https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=S:SO7094
If this is a server issue, why do clients experience the problem?

The problem occurs when a client tries to establish a security-enhanced connection to a Web server. As a part of the process of establishing the connection, the server passes many certificates back to the client. The client uses these certificates to validate the server's certificate. In this case, one of the intermediate certificate authorities (the “VeriSign International Server CA - Class 3” CA) has expired. This intermediate certificate is not valid. Therefore, the browser displays a warning message to the user that explains that a security-enhanced connection could not be established.

Are Microsoft certificates involved?

หมายเลข These certificates are issued and are owned by VeriSign, Inc. VeriSign participates in a program that is maintained by Microsoft. In this program, third-party trust providers can help secure Internet commerce for Microsoft customers. For more information about this program, visit the following Microsoft Web site:
http://technet.microsoft.com/en-us/library/cc751157.aspx
What certificate authorities participate in the Microsoft Root Program?

For a list of the current trusted third parties that have qualified for the Microsoft Root Program, visit the following Microsoft Web site:
http://msdn2.microsoft.com/en-us/library/ms995347.aspx
Does Microsoft still update the certificates that Microsoft Internet Explorer uses?

ใช่ As a part of the Microsoft Root Program, the list of trusted root authorities can be updated quarterly. For users of Microsoft Windows XP and Microsoft Windows Server 2003, this update occurs in the chain validation engine when it is presented with a certificate that it does not trust. When this behavior occurs, Windows Update is contacted to verify whether the certificate has been added to the Root Program. On pre-Windows XP clients, a recommended package is published to Windows Update for manual download. Microsoft recommends that enterprises make their own decisions about which trusted third parties they want users in their enterprises to trust.

หมายเหตุ:Updates that the Microsoft Root Program provides will not address the issues that VeriSign Intermediate Certificate Expiration raises.

การแก้ไข

To resolve this issue, update the intermediate CA certificate store on each of your servers to the latest version of the VeriSign International Server Intermediate CA.

ข้อมูลอ้างอิง

For more information about how CryptoAPI builds certificate chains and validates revocation status, visit the following Microsoft Web site:
http://technet.microsoft.com/en-us/library/cc700843.aspx

การสนับสนุน

สำหรับรายชื่อทั้งหมดของหมายเลขโทรศัพท์ของฝ่ายบริการด้านการสนับสนุนเกี่ยวกับผลิตภัณฑ์ของ Microsoft และข้อมูลเกี่ยวกับค่าใช้จ่ายในการให้คำปรึกษา แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft::
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
หมายเหตุ:ในกรณีพิเศษ อาจมีการยกเว้นค่าใช้จ่ายสำหรับการสนับสนุนทางโทรศัพท์หากผู้เชี่ยวชาญในการให้การสนับสนุนของ Microsoft ระบุว่าการปรับปรุงเฉพาะจะแก้ปัญหาของคุณได้ ค่าใช้จ่ายปกติจะใช้กับการให้การสนับสนุนสำหรับคำตอบเพิ่มเติมและเรื่องที่ไม่สามารถจัดเป็นคำถามเกี่ยวกับการอัพเดทเฉพาะ

Security resources

For more information about security in Microsoft products, visit the following Microsoft TechNet Web site:
http://www.microsoft.com/technet/security/default.mspx

ปฏิเสธ

ข้อมูลที่ให้ไว้ในฐานความรู้ของ Microsoft ให้ไว้ "ตามที่เป็นอยู่" โดยไม่มีการรับประกันใด ๆ Microsoft disclaims ทั้งหมดรับประกัน อย่างใดอย่างหนึ่ง หรือโดยนัย รวมถึงการรับประกันในความสามารถเชิงพาณิชย์และความเหมาะสมสำหรับวัตถุประสงค์เฉพาะ ไม่ Microsoft Corporation หรือซัพพลายเออร์ของจะชอบ damages ใด ๆ whatsoever รวมโดยตรง ทางอ้อม incidental ความ กำไรของธุรกิจหรือสูญหาย damages พิเศษ ถึงแม้ว่า Microsoft Corporation หรือซัพพลายเออร์ที่มีการแนะนำของ damages กล่าวที่อาจเกิดขึ้น บางสถานะไม่อนุญาตให้แยกหรือข้อจำกัดของหนี้สินสำหรับความ หรือ incidental damages จึงอาจไม่มีใช้ข้อจำกัดที่ foregoing

คุณสมบัติ

หมายเลขบทความ (Article ID): 834438 - รีวิวครั้งสุดท้าย: 14 มกราคม 2554 - Revision: 3.0
ใช้กับ
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
Keywords: 
kbinfo kbmt KB834438 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:834438

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com