Resumen de cambios la lógica de validación de cadena de certificados CryptoAPI en Q835732 en Windows 2000 Service Pack 2 o versiones posteriores

Seleccione idioma Seleccione idioma
Id. de artículo: 887195 - Ver los productos a los que se aplica este artículo
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Expandir todo | Contraer todo

INTRODUCCIÓN

En este artículo contiene un resumen de los cambios que se realizan la lógica de validación de cadena de certificados CryptoAPI en la siguiente actualización de seguridad para Microsoft Windows 2000 Service Pack 2 (SP2) o versiones posteriores:
835732MS04-011: Actualización de seguridad para Microsoft Windows
La información de este artículo también se aplica a la revisión siguiente:
329433Se selecciona un certificado revocado si una entidad emisora de certificados de la cadena tiene dos certificados
Sin embargo, la revisión Q329433 ha sustituido por Q835732.

Más información

CryptoAPI utiliza la biblioteca WinHTTP.dll para recuperación de red instead of la biblioteca Wininet.dll. Por lo tanto, pueden producirse las condiciones siguientes:
  • URLs de HTTPS no se admiten como punto de distribución referencias porque mediante direcciones URL HTTPS puede generar bucles de revocación de recursividad.
  • Ya no se admiten direcciones URL FTP.
  • La API criptográfica de Microsoft (CAPI) admite sólo la configuración de proxy automática mediante secuencias de comandos basados en JavaScript. Por ejemplo, las secuencias de .js, .JVS, PAC y .dat comandos.

    Para obtener información adicional sobre configuraciones de proxy manual, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    841641IIS devuelve un mensaje de error "403.13 revocados de certificados de cliente" después de instalar MS04-011 debido a la configuración proxy de WinInet de
  • CryptoAPI ya no utiliza la caché de Microsoft Internet Explorer (Wininet.dll). En su lugar, mantiene una caché de disco independiente en la carpeta de \Application Data\Microsoft\CryptnetUrlCache C:\Documents and Settings\ UserName.
  • Autenticación para los servidores proxy que no utilice la autenticación integrada de Windows en algunas aplicaciones puede fallar. Este comportamiento se produce porque la biblioteca WinHTTP.dll está diseñado para los servicios no interactivos y no solicita al usuario las credenciales de red.
Han cambiado los valores de tiempos de espera de red predeterminados. Este cambio se realizó en primer lugar para solucionar el problema de bloqueo de CAPI durante mucho tiempo durante recuperaciones de la lista de revocación de certificados (CRL) cuando la dirección URL de destino es inaccesible. De forma predeterminada, el nuevo tiempo de espera es 15 segundos para cada recuperación y 20 segundos para la validación de la cadena.

Cuando procesa los certificados con la extensión acceso a la información de entidad emisora (AIA), CryptoAPI procesará sólo un máximo de cinco direcciones URL para cada certificado o 10 URL para cada cadena de certificados. CryptoAPI también limita la cantidad de datos que se recuperan para cada cadena de certificados a 100.000 bytes. Estas limitaciones están diseñadas para reducir el posible uso de referencias AIA en la denegación de ataques de servicio.

Descubrimiento de certificados cruzados y inclusión se admiten a través de la extensión de punto de distribución de certificados entre (xDP). También se admiten las siguientes características:
  • Las CRL de diferencias son totalmente compatibles.
  • Se soporta la extensión crítica de punto de distribución de emisor (IDP) en la CRL.

    Nota Se rechazarán las CRL con onlyContainsUserCerts y onlyContainsCACerts bits establecidos en el IDP.
  • Restricciones de nombre y la directiva de certificados son compatibles.
  • Indicadores de gravedad de las extensiones CRL se respetan.
  • CRL de base 64 codificadas se procesan correctamente.
  • Completos de X.500 estilo los nombres de CRL y AIA referencias son compatibles.
  • Se ha resuelto el problema donde CryptoAPI puede seleccionar un certificado revocado en lugar de un certificado activo cuando la entidad emisora de certificados CA (CA) tiene dos certificados.
Para obtener información adicional, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
841632Recibe un mensaje de error "403.13 certificado de cliente revocado" después de instalar la actualización de seguridad MS04 11
841641IIS devuelve un mensaje de error "403.13 revocados de certificados de cliente" después de instalar MS04-011 debido a la configuración proxy de WinInet de
841642Se producen errores con certificados de cliente después de instalar la actualización de seguridad MS04-011 en un equipo de IIS 5.0
835732MS04-011: Actualización de seguridad para Microsoft Windows
329433Se selecciona un certificado revocado si una entidad emisora de certificados de la cadena tiene dos certificados

Propiedades

Id. de artículo: 887195 - Última revisión: lunes, 10 de febrero de 2014 - Versión: 1.1
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palabras clave: 
kbnosurvey kbarchive kbmt kbhowto kbinfo KB887195 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 887195

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com