Select the product you need help with
立即更新 IIS 的 VeriSign Web 服务器证书:过期的 VeriSign 中间证书会导致与使用 SSL 的站点建立未经验证的连接文章编号: 834438 - 查看本文应用于的产品 本页概要以前的 VeriSign 128 位 International (Global) Server Intermediate 证书颁发机构证书已于 2004 年 1 月 7 日到期。这可能会导致客户端尝试与 Web 服务器和其他启用 SSL/传输层安全协议 (TLS) 的应用程序(这些服务器和应用程序没有最新的证书)建立经过服务器身份验证的安全套接字层 (SSL) 连接时出现问题。 为避免出现这些问题,Microsoft Internet 信息服务 (IIS) 操作人员应该与 VeriSign 联系,以更新服务器的中间证书颁发机构证书,这些服务器使用 128 位 SSL 连接到使用安全超文本传输协议的网站。 影响客户端无法与没有更新过的证书的 Web 服务器建立受 SSL 保护的连接。建议安装 VeriSign 中间证书的更新版本。受影响的软件
技术细节技术说明VeriSign 维护许多将要过期或已过期的证书和证书吊销列表 (CRL)。这种情况很常见。通常,证书和 CRL 的有效期都很短,这是设计使然。不过,有时会重新颁发证书以延长其有效期。这通常不会导致问题,但如果服务器使用安全套接字层 (SSL) 来帮助保护连接到其资源的会话,这可能会引起问题。如果服务器操作人员将 VeriSign 提供的 SSL 证书与所颁发的相关证书颁发机构证书一起安装,随后他通过 VeriSign 续订了该 SSL 证书,则该服务器操作人员必须确保同时更新这些中间颁发证书。 如果您要安装更新后的证书,请访问下面的 VeriSign 网站,以获取这些证书的最新版本并了解它们的安装步骤: https://www.verisign.com/support/site/caReplacement.html
(https://www.verisign.com/support/site/caReplacement.html)
其他信息X.509 证书验证包含多个阶段。这些阶段包括路径发现和路径验证。路径发现是指确定证书是否由有效实体颁发的过程。您可以使用许多方法来实现此目的,其中包括以下这些:
常见问题这是否属于安全漏洞?不是。在任一受影响的产品中,这都不会造成安全漏洞。只有在第三方数字证书过期时才会发生该问题。 该问题的影响范围有多大? 最近,大型证书颁发机构 VeriSign, Inc. 使用具有更长有效期的证书更新了它们的“VeriSign International Server CA - Class 3”证书颁发机构。如果 Web 服务器操作人员在此更新后续订了他们的 SSL 证书,则他们的客户在试图验证其 Web 服务器是否确实与其组织相关联时,可能会遇到问题。 如何解决该问题? 可以通过手动更新每台 Web 服务器上的中间证书颁发机构 (CA) 证书来解决该问题。要获取此证书,请访问下面的 VeriSign 网站: https://www.verisign.com/support/site/caReplacement.html 如果这是服务器问题,为什么客户端也会遇到该问题?
(https://www.verisign.com/support/site/caReplacement.html)
在客户端尝试与 Web 服务器建立安全性增强的连接时会发生该问题。作为建立连接过程的一部分,服务器会将许多证书传递回客户端。客户端将使用这些证书来验证该服务器的证书。在此情况下,某个中间证书颁发机构(“VeriSign International Server CA - Class 3”CA)已过期。此中间证书无效。因此,浏览器会向用户显示一条警告消息,指出无法建立安全性增强的连接。 是否涉及到 Microsoft 证书? 不会。这些证书由 VeriSign, Inc. 颁发并归其所有。VeriSign 参与了一个由 Microsoft 维护的计划。在该计划中,第三方信任提供商可帮助确保 Microsoft 客户能够从事安全的 Internet 商务。有关此计划的更多信息,请访问下面的 Microsoft 网站: http://www.microsoft.com/technet/security/news/rootcert.mspx 哪些证书颁发机构参与了 Microsoft Root Program?
(http://www.microsoft.com/technet/security/news/rootcert.mspx)
要获得有资格参与 Microsoft Root Program 的当前受信任的第三方的列表,请访问下面的 Microsoft 网站: http://msdn2.microsoft.com/en-us/library/ms995347.aspx Microsoft 是否仍会更新 Microsoft Internet Explorer 使用的证书?
(http://msdn2.microsoft.com/en-us/library/ms995347.aspx)
是。作为 Microsoft Root Program 的一部分,受信任的根证书颁发机构的列表每季度会更新一次。对于 Microsoft Windows XP 和 Microsoft Windows Server 2003 用户,当为链验证引擎提供它不信任的证书时,可能会发生此更新。如果出现这种情况,请与 Windows Update 联系以验证该证书是否已添加到 Root Program 中。在 Windows XP 之前的客户端中,已向 Windows Update 中发布了一个推荐的程序包以供手动下载。Microsoft 建议企业自己决定希望其企业中的用户信任哪些受信任的第三方。 注意:Microsoft Root Program 提供的更新程序不会解决由“VeriSign 中间证书过期”引发的问题。 解决方案参考有关 CryptoAPI 如何创建证书链和验证吊销状态的更多信息,请访问下面的 Microsoft 网站: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/crypto/tshtcrl.mspx
(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/crypto/tshtcrl.mspx)
支持有关 Microsoft 产品支持服务电话号码和支持费用信息的完整列表,请访问下面的 Microsoft 网站:http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS 注意:特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定更新无法解决的其他支持问题和事项,将照常收取支持费用。
(http://support.microsoft.com/default.aspx?scid=fh;%5Bln%5D;cntactms)
安全资源有关 Microsoft 产品安全性的更多信息,请访问下面的 Microsoft TechNet 网站:http://www.microsoft.com/china/technet/security/default.mspx
(http://www.microsoft.com/china/technet/security/default.mspx)
免责声明Microsoft 知识库中提供的信息按“原样”提供,不做任何形式的保证。Microsoft 不做任何明示或暗示的保证,包括对适销性和针对特定用途的适用性的保证。在任何情况下,Microsoft Corporation 或其供应商均不对任何损害(包括直接的、间接的、意外的或后果性的商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知发生这类损害的可能性。有些州不允许排除或限制对后果性的或意外的损害所负的责任,所以上述限制可能不适用。属性文章编号: 834438 - 最后修改: 2007年12月4日 - 修订: 5.3 这篇文章中的信息适用于:
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。 | 文章翻译
 |
回到顶端
