立即更新 IIS 的 VeriSign 網頁伺服器憑證:過期的 VeriSign 中繼憑證會導致 SSL 使用未經驗證的網站連線

文章翻譯 文章翻譯
文章編號: 834438 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

先前的 VeriSign 128 位元 International (Global) Server 中繼憑證授權在 2004 年 1 月 7 日到期。這對嘗試與網頁伺服器建立 Secure Socket Layer (SSL) 連線 (透過伺服器進行驗證) 的用戶端,以及其他尚未擁有最新憑證,並啟用 SSL/Transport Layer Security (TLS) 的應用程式而言,會造成問題。

為了避免這些問題,Microsoft Internet Information Services (IIS) 作業人員應聯絡 VeriSign,以更新使用 128 位元 SSL 連線至具有 Secure Hypertext Transfer Protocol 網站的伺服器中繼憑證授權。

衝擊

用戶端無法與尚未更新憑證的網頁伺服器,建立受 SSL 保護的連線。

建議

安裝更新版的 VeriSign 中繼憑證。

受影響的軟體

  • Microsoft Internet Information Server
  • Microsoft Internet Security and Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

詳細技術資訊

技術說明

VeriSign 會維護許多快要過期,或已經過期的憑證和憑證撤銷清單 (CRL,Certificate Revocation List)。這是很平常的情形。通常,憑證和 CRL 的有效時間是很短的。然而,有時會重新發佈憑證,以便提供較長的憑證有效期限。通常這並不會發生問題,但是對使用 Secure Socket Layer (SSL) 保護連線至其資源之工作階段的伺服器而言,卻會造成問題。

如果伺服器作業人員從 VeriSign 安裝 SSL 憑證,並且一起安裝發佈的相關中繼憑證授權,則當伺服器作業人員稍後透過 VeriSign 更新 SSL 憑證時,必須確保同時更新中繼發佈憑證。

如果要安裝更新的憑證,請造訪下列 VeriSign 網站,以取得這些憑證的最新版本及安裝步驟:
https://www.verisign.com/support/site/caReplacement.html

詳細資訊

X.509 憑證的驗證具有數個階段,包含了路徑查詢路徑驗證

路徑查詢是判斷憑證是否經由有效實體發佈的程序。您可以使用許多技術來執行這項操作,其中包括下列技術:
  • 用戶端經常維護中間憑證的快取。經過證實,中間憑證可以有效地判斷憑證最後是否經由有效的根憑證授權所發佈。

    憑證可能包含了擴充功能,以提供相關詳細資訊的指標。Authoritative Information Access (AIA) 擴充功能就是此類型擴充功能的範例之一。AIA 擴充功能可能包含憑證發照者的指標。

    注意 並非所有的憑證都包含此指標,其中包括有關此問題的 VeriSign 憑證。Microsoft 一直持續主動地與憑證發照者共同合作,鼓勵發照者將此資訊包含在未來會發佈的憑證中,今後也將繼續秉持這項精神。如需有關此擴充功能的詳細資訊,請參閱 Internet Engineering Task Force (IETF) Request for Comments (RFC) 3280。
  • 伺服器可以提供用戶端詳細資訊。SSL 是這種技術的範例之一。在 SSL 交涉過程中,伺服器會為用戶端提供伺服器所擁有的憑證,以及判斷用戶端可以用來決定伺服器識別名稱的憑證。

路徑驗證是檢查所查詢路徑的程序。路徑驗證包含了憑證上每一個簽章的密碼驗證。路徑驗證也牽涉到檢查是否已強制執行發照者的原則,其原則可能包括:
  • 發照者是否相信有問題的憑證仍然有效,並且仍在原先發佈人員的控制下嗎?這種情形通常稱為「憑證撤銷檢查」。Windows 支援像是憑證撤銷清單 (CRL,Certificate Revocation List) 的加密物件,以執行這項檢查。
  • 憑證是否以發照者當初發佈的目的而使用?例如,不應該信任針對電子郵件發佈的憑證,以便邏輯判斷網頁伺服器是否與特定網域名稱相關 (如同在 SSL 中所完成的動作一樣)。
  • 憑證是否仍在有效時間內?基於安全性因素,限制憑證的有效期限。發照者無法證明個人或資源擁有特定的識別名稱,使得發照者能夠考慮延長信任的時間。

常見問題集

這是不是一個安全性弱點?

不是。對任何一個受影響的產品而言都不是安全性弱點。這只是因為協力廠商的數位憑證過期,所以才會導致發生問題。

這個問題的範圍為何?

最近,主要憑證授權單位 VeriSign, Inc. 已經更新「VeriSign International Server CA - Class 3」憑證授權,使憑證具有更長的有效期間。如果網頁伺服器作業人員在此次憑證更新之後,更新 SSL 憑證,則客戶可能會在嘗試驗證時遭遇問題,因為網頁伺服器實際上是與他們的組織相關聯。

如何解決此問題?

您可以在每個網頁伺服器上,手動更新中繼憑證授權單位 (CA) 憑證來解決此問題。如果要取得此憑證,請造訪下列 VeriSign 網站:
https://www.verisign.com/support/site/caReplacement.html
如果這是伺服器的問題,為什麼用戶端會發生問題?

當用戶端嘗試與網頁伺服器建立增強安全性的連線時,就會發生問題。伺服器會將許多憑證傳送回用戶端,做為建立連線處理程序的一部份。用戶端會使用這些憑證來驗證伺服器的憑證。在此情況中,其中一個中繼憑證授權 (VeriSign International Server CA - Class 3 CA) 已經過期。此中繼憑證是無效的。因此,瀏覽器會對使用者顯示警告訊息,說明無法建立增強安全性的連線。

Microsoft 憑證是否牽涉在其中?

否。這些憑證都是由 VeriSign, Inc. 所發行和擁有。VeriSign 參與 Microsoft 所維護的一個程式。在此程式中,協力廠商信任提供者能夠為 Microsoft 客戶提供安全的網際網路商務活動。如需有關此程式的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/technet/security/news/rootcert.mspx
Microsoft Root Program 具有何種憑證授權?

如需目前符合 Microsoft Root Program 資格的受信任協力廠商清單,請造訪下列 Microsoft 網站:
http://msdn2.microsoft.com/en-us/library/ms995347.aspx
Microsoft 是否仍會更新 Microsoft Internet Explorer 所使用的憑證?

是的。受信任的根授權清單會每四個月更新一次,做為 Microsoft Root Program 的一部份。執行 Microsoft Windows XP 和 Microsoft Windows Server 2003 的使用者,在鏈結驗證引擎發現不信任的憑證時,就可以執行此更新。發生此情形時,請使用 Windows Update,以便檢查該憑證是否已加入 Root Program。對於早期的 Windows XP 用戶端,可以手動下載 Windows Update 上所建議安裝的套件。Microsoft 建議企業自行決定希望使用者信任的協力廠商。

注意 Microsoft Root Program 所提供的更新不會解決 VeriSign 中繼憑證過期所產生的問題。

解決方案

如果要解決此問題,請將儲存於每台伺服器上的中繼 CA 憑證,更新至最新版的 VeriSign International Server Intermediate CA。

?考

如需有關 CryptoAPI 如何建置憑證鏈結及檢查撤銷狀態的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/crypto/tshtcrl.asp

支援

如需「Microsoft 技術支援處」完整的電話號碼清單,以及支援費用的相關資訊,請造訪下列 Microsoft 網站:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
注意 在某些特殊情況下,如果 Microsoft 技術支援工程師認為某特定更新程式可以解決您的問題時,可能就不會收取一般因支援電話所產生的費用。一般來說,如果有其他支援問題是所描述的特定更新程式無法解決的,才會收取支援費用。

安全性資源

如需有關 Microsoft 產品中安全性的詳細資訊,請造訪下列 Microsoft TechNet 網站:
http://www.microsoft.com/technet/security/default.asp

免責聲明

「Microsoft 知識庫」中的資訊係依「現狀」提供,不含任何形式之瑕疵責任擔保。Microsoft 不以暗示或其他方式,提供與這些產品的效能或可靠性有關的保證。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發意外、推衍引發、業務利潤損失或特殊損害。即使 Microsoft corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區並不允許排除及限制推衍後果或意外損害責任,因此前述限制不適用於這些地區。

屬性

文章編號: 834438 - 上次校閱: 2007年12月4日 - 版次: 5.3
這篇文章中的資訊適用於:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
關鍵字:?
kbinfo KB834438
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com