Resumo das alterações para a lógica de validação CryptoAPI cadeia de certificado em Q835732 no Windows 2000 Service Pack 2 ou em versões posteriores

Traduções deste artigo Traduções deste artigo
ID do artigo: 887195 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Expandir tudo | Recolher tudo

INTRODUÇÃO

Este artigo contém um resumo das alterações que são feitas para a lógica de validação CryptoAPI cadeia de certificado na atualização de segurança para o Microsoft Windows 2000 Service Pack 2 (SP2) ou versões posteriores:
835732MS04-011: Atualização de segurança para o Microsoft Windows
As informações neste artigo também se aplicam para o seguinte hotfix:
329433Um certificado revogado é selecionado se uma autoridade de certificação na cadeia possuir dois certificados
No entanto, o hotfix Q329433 foi substituído pelo Q835732.

Mais Informações

CryptoAPI usa a biblioteca WinHTTP.dll para recuperação de rede em vez de biblioteca Wininet.dll. Portanto, as seguintes condições podem ocorrer:
  • Não há mais são suporte para URLs HTTPS como ponto de distribuição referências porque usar URLs HTTPS pode gerar loops de revogação de recursão.
  • URLs FTP não há mais suporte.
  • A API de criptografia da Microsoft (CAPI) oferece suporte apenas a configuração automática de proxy usando scripts baseados no JavaScript. Por exemplo, .js, .PAC, .JVS e .dat scripts.

    Para obter informações adicionais sobre configurações de proxy manual, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    841641O IIS retorna uma "403.13 cliente certificados revogados" mensagem de erro após instalar o MS04-011 devido a configurações de proxy do Wininet
  • CryptoAPI não usa mais o cache do Microsoft Internet Explorer (Wininet.dll). Em vez disso, ele mantém um cache de disco separado na pasta \Application Data\Microsoft\CryptnetUrlCache C:\Documents and Settings\ UserName.
  • Autenticação para servidores proxy que não usam autenticação integrada do Windows em alguns aplicativos pode falhar. Esse comportamento ocorre porque a biblioteca WinHTTP.dll projetada para uso pelos serviços não-interativos e não solicita as credenciais de rede do usuário.
Valores de tempos limite de rede padrão foram alteradas. Essa alteração foi feita primeiro para resolver o problema de bloqueio de CAPI por um longo tempo durante recuperações de lista (certificados REVOGADOS) quando o URL de destino está inacessível. Por padrão, o tempo limite novo é 15 segundos para cada recuperação e 20 segundos para validação da cadeia de cada.

Quando ele processa certificados com a extensão AIA (acesso de informações da autoridade), o CryptoAPI processará somente um máximo de cinco URLs para cada certificado ou 10 URLs para cada cadeia de certificados. CryptoAPI também limita a quantidade de dados que são recuperados para cada cadeia de certificados a 100.000 bytes. Essas limitações se destinam a reduzir o uso potencial de referências AIA em ataques de negação de serviço.

Descoberta de certificados cruzados e inclusão são suportados por meio a extensão de ponto de distribuição de certificados entre (xDP). Também há suporte para os seguintes recursos:
  • CRLs delta são totalmente suportadas.
  • Há suporte para a extensão IDP (ponto de distribuição do emissor) crítica na CRL.

    Observação CRLs com tanto onlyContainsUserCerts onlyContainsCACerts bits que são definidas no IDP serão rejeitadas.
  • Há suporte para restrições de nome e a diretiva em certificados.
  • Sinalizadores de criticalidade nas Extensões CRL são respeitadas.
  • CRLs codificadas base-64 são processadas corretamente.
  • Estilo X.500 distinto nomes de CRL e AIA referências são suportadas.
  • O problema onde CryptoAPI pode selecionar um certificado revogado em vez de um certificado ativo quando a autoridade de certificação (CA) emissora tem dois certificados foi resolvido.
Para obter informações adicionais, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
841632Você recebe uma mensagem de erro "cliente 403.13 certificado revogado" depois que você instala a atualização de segurança MS04-11
841641O IIS retorna uma "403.13 cliente certificados revogados" mensagem de erro após instalar o MS04-011 devido a configurações de proxy do Wininet
841642Erros com certificados de cliente ocorrem depois de instalar a atualização de segurança MS04-011 em um computador com IIS 5.0
835732MS04-011: Atualização de segurança para o Microsoft Windows
329433Um certificado revogado é selecionado se uma autoridade de certificação na cadeia possuir dois certificados

Propriedades

ID do artigo: 887195 - Última revisão: domingo, 27 de outubro de 2013 - Revisão: 1.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbnosurvey kbarchive kbmt kbhowto kbinfo KB887195 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 887195

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com