Résumé des modifications apportées à la logique de validation de chaîne certificat CryptoAPI dans Q835732 sur les Service Pack 2 Windows 2000 ou les versions ultérieures

Traductions disponibles Traductions disponibles
Numéro d'article: 887195 - Voir les produits auxquels s'applique cet article
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Agrandir tout | Réduire tout

INTRODUCTION

Cet article contient une synthèse des modifications apportées à la logique de validation de chaîne certificat CryptoAPI dans la suivant mise à jour de sécurité pour Windows 2000 Service Pack 2 (SP2) ou versions ultérieures :
835732 MS04-011 : mise à jour de sécurité pour Microsoft Windows
Les informations contenues dans cet article s'applique également au correctif logiciel suivant :
329433 Un certificat révoqué est sélectionné si une autorité de certification de la chaîne possède deux certificats
Toutefois, le correctif Q329433 a été remplacée par Q835732.

Plus d'informations

CryptoAPI utilise la bibliothèque WinHTTP.dll pour la récupération de réseau instead of la bibliothèque Wininet.dll. Par conséquent, les conditions suivantes peuvent se produire :
  • URL HTTPS sont plus pris en charge comme point de distribution références parce que l'utilisation des URL HTTPS peut générer des boucles de révocation de récurrence.
  • URL FTP n'est plus pris en charge.
  • L'API de cryptographie Microsoft (CAPI) prend en charge uniquement configuration du proxy automatique en utilisant les scripts en fonction de JavaScript. Par exemple, .js .pac, .JVS et .dat scripts.

    Pour plus d'informations sur les configurations de proxy manuelle, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    841641 IIS retourne un message d'erreur « 403.13 client certificat Revoked » une fois vous installez MS04-011 raison des paramètres de proxy de WinINet
  • CryptoAPI n'utilise plus le cache Microsoft Internet Explorer (Wininet.dll). Au lieu de cela, il maintient un cache de disque distinct dans le dossier \Application Data\Microsoft\CryptnetUrlCache C:\Documents and Settings\ UserName.
  • Authentification à des serveurs proxy qui n'utilisent pas l'authentification Windows intégrée dans certaines applications peut échouer. Ce problème se produit car la bibliothèque WinHTTP.dll est conçu pour être utilisé par les services non interactifs et n'invite pas l'utilisateur des informations d'identification réseau.
Valeurs de délai d'expiration par défaut réseau ont changé. Cette modification a été effectuée tout d'abord résoudre le problème de blocage de CAPI pendant une longue période au cours des extractions de liste de révocation de certificats (CRL) lorsque l'URL de destination est inaccessible. Par défaut, le nouveau délai est 15 secondes pour chaque extraction et 20 secondes pour chaque validation de chaîne.

Lorsqu'il traite les certificats avec l'extension des informations de l'autorité (AIA), CryptoAPI traitera uniquement un maximum de cinq URL pour chaque certificat ou URL de 10 pour chaque chaîne de certificats. CryptoAPI limite également l'espace de données qui sont récupérées pour chaque chaîne de certificats à 100 000 octets. Ces limites sont conçus pour réduire l'utilisation potentielle de références AIA dans les attaques par déni de service.

Découverte de certificats croisés et inclusion sont pris en charge par le biais de l'extension du point de distribution entre certificats (xDP). Les fonctionnalités suivantes sont également prises en charge :
  • Listes de révocation de certificats delta sont totalement prises en charge.
  • L'extension IDP (émetteur distribution point) critique dans la liste de révocation de CERTIFICATS est pris en charge.

    note CLR avec les onlyContainsUserCerts et onlyContainsCACerts bits qui sont définis dans le IDP est rejetées.
  • Contraintes de nom et la stratégie de certificats sont pris en charge.
  • Indicateurs le rôle critique dans les extensions de liste de révocation de CERTIFICATS sont respectées.
  • Base-64 codé CRL est traitées correctement.
  • Style de X.500 uniques noms pour la liste de révocation de CERTIFICATS et AIA références sont pris en charge.
  • Le problème dans lequel CryptoAPI peut sélectionner un certificat révoqué au lieu d'un certificat actif lorsque l'autorité émettrice certification (CA) possède deux certificats a été résolu.
Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
841632 Vous recevez un message d'erreur « 403.13 Certificat client révoqué » après avoir installé la mise à jour de sécurité MS04-11
841641 IIS retourne un message d'erreur « 403.13 client certificat Revoked » une fois vous installez MS04-011 raison des paramètres de proxy de WinINet
841642 Erreurs de certificats client survenir après l'installation la mise à jour de sécurité MS04-011 sur un ordinateur de services Internet (IIS) 5.0
835732 MS04-011 : mise à jour de sécurité pour Microsoft Windows
329433 Un certificat révoqué est sélectionné si une autorité de certification de la chaîne possède deux certificats

Propriétés

Numéro d'article: 887195 - Dernière mise à jour: mercredi 29 janvier 2014 - Version: 1.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbnosurvey kbarchive kbmt kbhowto kbinfo KB887195 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 887195
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com