立即更新 IIS 的 VeriSign Web 服务器证书:过期的 VeriSign 中间证书会导致与使用 SSL 的站点建立未经验证的连接

文章翻译 文章翻译
文章编号: 834438 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

以前的 VeriSign 128 位 International (Global) Server Intermediate 证书颁发机构证书已于 2004 年 1 月 7 日到期。这可能会导致客户端尝试与 Web 服务器和其他启用 SSL/传输层安全协议 (TLS) 的应用程序(这些服务器和应用程序没有最新的证书)建立经过服务器身份验证的安全套接字层 (SSL) 连接时出现问题。

为避免出现这些问题,Microsoft Internet 信息服务 (IIS) 操作人员应该与 VeriSign 联系,以更新服务器的中间证书颁发机构证书,这些服务器使用 128 位 SSL 连接到使用安全超文本传输协议的网站。

影响

客户端无法与没有更新过的证书的 Web 服务器建立受 SSL 保护的连接。

建议

安装 VeriSign 中间证书的更新版本。

受影响的软件

  • Microsoft Internet Information Server
  • Microsoft Internet Security and Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

技术细节

技术说明

VeriSign 维护许多将要过期或已过期的证书和证书吊销列表 (CRL)。这种情况很常见。通常,证书和 CRL 的有效期都很短,这是设计使然。不过,有时会重新颁发证书以延长其有效期。这通常不会导致问题,但如果服务器使用安全套接字层 (SSL) 来帮助保护连接到其资源的会话,这可能会引起问题。

如果服务器操作人员将 VeriSign 提供的 SSL 证书与所颁发的相关证书颁发机构证书一起安装,随后他通过 VeriSign 续订了该 SSL 证书,则该服务器操作人员必须确保同时更新这些中间颁发证书。

如果您要安装更新后的证书,请访问下面的 VeriSign 网站,以获取这些证书的最新版本并了解它们的安装步骤:
https://www.verisign.com/support/site/caReplacement.html

其他信息

X.509 证书验证包含多个阶段。这些阶段包括路径发现路径验证

路径发现是指确定证书是否由有效实体颁发的过程。您可以使用许多方法来实现此目的,其中包括以下这些:
  • 客户端频繁地维护中间证书的缓存。中间证书是一种已证明非常有用的证书,它可以有效地确定证书是否最终由有效根证书颁发机构颁发。

    证书可能包含提供指向其他相关信息的指针的特定扩展。颁发机构信息访问 (AIA) 扩展就属于这类扩展。AIA 扩展可能会包含指向证书颁发者的指针。

    注意:有些证书不包含此指针,其中包括与此问题有关的 VeriSign 证书。Microsoft 一直并将继续与证书颁发者积极合作,以鼓励他们在以后颁发的证书中包含此信息。有关此扩展的更多信息,请参阅 Internet 工程任务组 (IETF) 征求意见文档 (RFC) 3280。
  • 服务器可以向客户端提供附加信息。SSL 就属于这种技术。在 SSL 协商中,服务器向客户端提供它自己的证书以及服务器已确定客户端可用于确定服务器身份的证书。

路径验证是指验证已发现路径的过程。路径验证涉及对每个证书上的签名进行加密验证。路径验证还涉及到验证颁发者的策略是否得到执行。这类策略包括:
  • 颁发者是否认为有问题的证书仍然有效并且仍然受证书最初颁发给的人员的控制?这种情况通常称为“证书吊销检查”。Windows 支持加密对象(即证书吊销列表 (CRL))来执行此验证。
  • 证书是否按照颁发者的意愿在使用?例如,不应该信任为电子邮件颁发的证书来断言 Web 服务器与特定的域名相关联(就像在 SSL 中那样)。
  • 证书是否具有时效性?出于安全原因,证书的有效期都受到限制。颁发者无法保证个人或资源能够更长时间地拥有该颁发者认为可信任的特定身份。

常见问题

这是否属于安全漏洞?

不是。在任一受影响的产品中,这都不会造成安全漏洞。只有在第三方数字证书过期时才会发生该问题。

该问题的影响范围有多大?

最近,大型证书颁发机构 VeriSign, Inc. 使用具有更长有效期的证书更新了它们的“VeriSign International Server CA - Class 3”证书颁发机构。如果 Web 服务器操作人员在此更新后续订了他们的 SSL 证书,则他们的客户在试图验证其 Web 服务器是否确实与其组织相关联时,可能会遇到问题。

如何解决该问题?

可以通过手动更新每台 Web 服务器上的中间证书颁发机构 (CA) 证书来解决该问题。要获取此证书,请访问下面的 VeriSign 网站:
https://www.verisign.com/support/site/caReplacement.html
如果这是服务器问题,为什么客户端也会遇到该问题?

在客户端尝试与 Web 服务器建立安全性增强的连接时会发生该问题。作为建立连接过程的一部分,服务器会将许多证书传递回客户端。客户端将使用这些证书来验证该服务器的证书。在此情况下,某个中间证书颁发机构(“VeriSign International Server CA - Class 3”CA)已过期。此中间证书无效。因此,浏览器会向用户显示一条警告消息,指出无法建立安全性增强的连接。

是否涉及到 Microsoft 证书?

不会。这些证书由 VeriSign, Inc. 颁发并归其所有。VeriSign 参与了一个由 Microsoft 维护的计划。在该计划中,第三方信任提供商可帮助确保 Microsoft 客户能够从事安全的 Internet 商务。有关此计划的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/technet/security/news/rootcert.mspx
哪些证书颁发机构参与了 Microsoft Root Program?

要获得有资格参与 Microsoft Root Program 的当前受信任的第三方的列表,请访问下面的 Microsoft 网站:
http://msdn2.microsoft.com/en-us/library/ms995347.aspx
Microsoft 是否仍会更新 Microsoft Internet Explorer 使用的证书?

是。作为 Microsoft Root Program 的一部分,受信任的根证书颁发机构的列表每季度会更新一次。对于 Microsoft Windows XP 和 Microsoft Windows Server 2003 用户,当为链验证引擎提供它不信任的证书时,可能会发生此更新。如果出现这种情况,请与 Windows Update 联系以验证该证书是否已添加到 Root Program 中。在 Windows XP 之前的客户端中,已向 Windows Update 中发布了一个推荐的程序包以供手动下载。Microsoft 建议企业自己决定希望其企业中的用户信任哪些受信任的第三方。

注意:Microsoft Root Program 提供的更新程序不会解决由“VeriSign 中间证书过期”引发的问题。

解决方案

要解决此问题,请将每台服务器上的中间 CA 证书存储更新为最新版本的 VeriSign International Server Intermediate CA。

参考

有关 CryptoAPI 如何创建证书链和验证吊销状态的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/crypto/tshtcrl.mspx

支持

有关 Microsoft 产品支持服务电话号码和支持费用信息的完整列表,请访问下面的 Microsoft 网站:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
注意:特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定更新无法解决的其他支持问题和事项,将照常收取支持费用。

安全资源

有关 Microsoft 产品安全性的更多信息,请访问下面的 Microsoft TechNet 网站:
http://www.microsoft.com/china/technet/security/default.mspx

免责声明

Microsoft 知识库中提供的信息按“原样”提供,不做任何形式的保证。Microsoft 不做任何明示或暗示的保证,包括对适销性和针对特定用途的适用性的保证。在任何情况下,Microsoft Corporation 或其供应商均不对任何损害(包括直接的、间接的、意外的或后果性的商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知发生这类损害的可能性。有些州不允许排除或限制对后果性的或意外的损害所负的责任,所以上述限制可能不适用。

属性

文章编号: 834438 - 最后修改: 2007年12月4日 - 修订: 5.3
这篇文章中的信息适用于:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
关键字:?
kbinfo KB834438
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com