تحديث VeriSign ويب خادم الشهادات الآن ل IIS: شهادة متوسطة VeriSign منتهية الصلاحية يمكن أن يؤدي إلى اتصالات غير الموثقة للمواقع باستخدام SSL

ملخص

انتهت صلاحية شهادة مرجع مصدق VeriSign 128 بت الدولية (العالمية) "الخادم المتوسطة" السابقة في 7 كانون الثاني/يناير 2004. مصادقة الملقم مأخذ التوصيل الآمنة مع ملقمات ويب (SSL)قد يتسبب هذا في مشاكل لعملاء محاولة تأسيس اتصالات طبقة وتطبيقات SSL/TLS أمان طبقة النقل-تمكين الأخرى التي لا تحتوي على شهادات محدثة.

لمنع حدوث هذه المشاكل، يجب الاتصال بعوامل تشغيل خدمات معلومات إنترنت ل Microsoft (IIS) VeriSign تحديث شهادات المرجع المصدق الوسيطة للملقمات التي تستخدم SSL 128 بت للاتصال بمواقع ويب باستخدام "بروتوكول نقل النص التشعبي الأمن".

تأثير

عملاء لا يمكن تأسيس اتصالات SSL المحمية إلى خوادم ويب التي لم يتم تحديث الشهادات.

توصية

قم بتثبيت الإصدار المحدث من الشهادة المتوسطة VeriSign.

البرامج المتأثرة بالمشكلة

  • خادم معلومات إنترنت ل Microsoft
  • أمان إنترنت Microsoft وخادم التسريع
  • Microsoft Exchange
  • Microsoft SQL Server

التفاصيل التقنية

وصف تقني

يحتفظ VeriSign العديد من الشهادات وقوائم إبطال الشهادات (CRLs) التي ستنتهي مدة صلاحيتها أو التي انتهت صلاحيتها. وهذا ليس من غير المألوف. عادة CRLs والشهادات قصيرة الأجل حسب التصميم. ومع ذلك، الشهادات في بعض الأحيان إعادة إصدار لمنحهم فترة حياة أطول. وهذا ليس بمشكلة، ولكن يمكن أن تخلق مشاكل مع الملقمات التي تستخدم طبقة مأخذ التوصيل الآمنة (SSL) لحماية جلسات عمل الاتصال بمواردها.

إذا عامل ملقم تثبيت شهادة SSL من VeriSign، جنبا إلى جنب مع شهادات المرجع المصدق المصدر ذات الصلة، ومن ثم مشغل الملقم تجدد شهادة SSL خلال VeriSign لاحقاً، يجب التأكد من أن يتم تحديث الشهادات المصدر المتوسطة في نفس الوقت عامل تشغيل الملقم.

إذا كنت تريد تثبيت شهادات محدثة، زيارة موقع ويب VeriSign التالي أحدث الإصدارات من هذه الشهادات وخطوات لتثبيتها:

معلومات إضافية

التحقق من صحة شهادة X.509 ينطوي على عدة مراحل. تتضمن هذه المراحل اكتشاف المسار و التحقق من صحة المسار.


تم اكتشاف مسار عملية تحديد ما إذا تم إصدار شهادة من قبل وحدة صحيحة. يمكنك استخدام العديد من التقنيات للقيام بذلك، بما في ذلك ما يلي:
  • عملاء كثيرا ما الاحتفاظ بتخزين مؤقت الشهادات المتوسطة. شهادة متوسطة هي شهادة قد أثبتت أنها مفيدة في تحديد ما إذا كان في نهاية المطاف إصدار شهادة من قبل مرجع مصدق جذر صالحة.

    قد تحتوي الشهادات على الملحقات التي توفر مؤشرات إلى معلومات إضافية ذات صلة. مثال على هذا النوع من الملحق هو ملحق الوصول إلى معلومات موثوقة (AIA). قد يحتوي على ملحق AIA مؤشر إلى مصدر الشهادة.

    ملاحظة: تتضمن الشهادات ليست كل هذا المؤشر، بما في ذلك الشهادات VeriSign المتضمنة في هذه المسألة. Microsoft وستواصل العمل بنشاط مع مصدري الشهادات لتشجيعهم على تضمين هذه المعلومات في الشهادات التي تصدر في المستقبل. لمزيد من المعلومات حول هذا الملحق، راجع طلب التعليقات (RFC) 3280 فريق مهام هندسة إنترنت (IETF).
  • ملقمات توفير معلومات إضافية للعميل. SSL مثال واحد لهذا الأسلوب. في مفاوضة SSL، يوفر الملقم العميل باستخدام الشهادة الخاصة به والشهادات أن الخادم قد قررت أنه يمكن استخدام العميل لتحديد هوية الملقم.

يتم التحقق من صحة مسار عملية التحقق من المسار التي تم اكتشافها. يتضمن التحقق من صحة المسار التشفير التحقق من كل التوقيع على شهادة. يتضمن التحقق من صحة المسار أيضا التحقق من أن يتم فرض نهج المصدر. وتشمل هذه السياسات:
  • هل يعتقد المصدر أن الشهادة المذكورة لا يزال قائما ولا يزال تحت سيطرة الشخص الذي صدر أصلاً إلى؟ هذا السلوك كثيرا ما يشار إلى "شهادة التحقق من الأبطال." يدعم Windows كائن تشفير قائمة إبطال شهادات (CRL) القيام بهذا التحقق.
  • الشهادة يستخدم لأغراض مخصصة لاستخدامها للمصدر؟ على سبيل المثال، يجب أن تكون شهادة تم إصدارها للبريد الإلكتروني غير موثوق بها لتأكيد أن خادم الويب مقترن باسم مجال معين (كما هو الحال في SSL).
  • هل الشهادات وقت صالح؟ يمتد عمر الشهادة مقيدة لأسباب أمنية. لا يمكن ترخيص مصدر فرد أو مورد له هوية معينة تعتبر المصدر يمكن الوثوق بها لفترة أطول.

الأسئلة المتداولة

هل هذا ثغرة أمنية؟

لا. هذه ليست مشكلة عدم حصانة أمان في أي من المنتجات المتأثرة. نتائج المشكلة فقط بسبب انتهاء صلاحية الشهادة الرقمية من طرف ثالث.

ما هو نطاق المشكلة؟


مؤخرا، VeriSign, Inc.، مرجع مصدق رئيسية، تجديد المرجع المصدق "Server VeriSign الدولية كاليفورنيا-الفئة 3" الخاصة بهم مع الشهادات التي لها فترة صلاحية أطول. إذا كان تجديد عوامل تشغيل خادم ويب خدمة تصميم المواقع الخاصة بهم بعد هذا التجديد، العملاء قد تواجه مشكلات عند محاولة التحقق من صحة أن ملقمات ويب الخاصة بهم مقترنة فعلياً بمؤسساتهم.

كيفية حل هذه المشكلة؟

يمكنك حل هذه المشكلة عن طريق تحديث شهادة المرجع المصدق (CA) الشهادة المتوسطة على كل خادم ويب يدوياً. للحصول على هذه الشهادة، قم بزيارة موقع الويب VeriSign:إذا كانت هذه هي مشكلة خادم، لماذا عملاء تواجه المشكلة؟

تحدث المشكلة عند محاولة عميل تأسيس اتصال محسنة الأمان إلى ملقم ويب. كجزء من عملية إنشاء الاتصال، يمرر الخادم عدة شهادات إلى العميل. يستخدم العميل هذه الشهادات للتحقق من صحة شهادة الملقم. في هذه الحالة، أحد المراجع المصدقة الوسيطة (CA "VeriSign CA Server الدولية-فئة 3") انتهت. هذه الشهادة المتوسطة غير صالح. لذلك، يعرض المستعرض رسالة تحذير للمستخدم توضح تعذر تأسيس اتصال محسنة الأمان.


هل تشارك شهادات Microsoft؟

لا. وتصدر هذه الشهادات ويملكها VeriSign، VeriSign شركة تشارك في برنامج الذي تحتفظ به Microsoft. في هذا البرنامج، تساعد موفري ثقة خارجية التجارة إنترنت الآمنة لعملاء Microsoft. لمزيد من المعلومات حول هذا البرنامج، قم بزيارة موقع Microsoft التالي على الويب:المراجع المصدقة عن المشاركة في برنامج الجذر ل Microsoft؟

للحصول على قائمة الجهات الخارجية الموثوقة الحالي لبرنامج الجذر ل Microsoft، قم بزيارة موقع Microsoft التالي على الويب:هل لا يزال Microsoft يقوم بتحديث الشهادات التي تستخدم Microsoft Internet Explorer؟


"نعم". كجزء من برنامج الجذر ل Microsoft، يمكنك تحديث قائمة المراجع المصدقة الجذر الموثوق بها كل ثلاثة أشهر. لمستخدمي نظام التشغيل Windows XP ونظام التشغيل Microsoft Windows Server 2003، يحدث هذا التحديث في محرك التحقق من السلسلة عند تقديم شهادة عدم الثقة. عند حدوث هذا السلوك، يتم الاتصال Windows Update للتحقق من ما إذا كانت الشهادة قد أضيفت إلى "برنامج الجذر". في إصدار سابق ل Windows XP عملاء، نشر حزمة الموصى بها إلى Windows Update لتنزيل يدوي. توصي Microsoft بأن المؤسسات اتخاذ قراراتهم حول أطراف ثالثة الموثوق بهم الذين يريدون المستخدمين في المؤسسات الخاصة بهم بالثقة بهم.

ملاحظة: تحديثات برنامج الجذر ل Microsoft توفير لا تعالج القضايا التي ترفع VeriSign انتهاء صلاحية الشهادة المتوسطة.

الحل

لحل هذه المشكلة، تحديث مخزن الشهادات CA المتوسطة على كل من الملقمات الخاصة بك إلى أحدث إصدار الخادم VeriSign الدولية المصدق الوسيطة.

المراجع

لمزيد من المعلومات حول كيفية إنشاء سلاسل الشهادة CryptoAPI والتحقق من حالة الأبطال، قم بزيارة موقع Microsoft التالي على الويب:

الدعم

للحصول على قائمة كاملة من أرقام الهواتف خدمات دعم منتجات Microsoft وعلى معلومات حول تكاليف الدعم، الرجاء زيارة موقع Microsoft التالي على الويب:ملاحظة: في بعض الحالات، قد يتم إلغاء المصروفات التي تحتسب عادة على مكالمات الدعم إذا قرر أخصائي الدعم لدى Microsoft أن تحديثًا معيناً سوف يعمل على حل المشكلة. سيتم اضافة تكاليف الدعم المعتادة على أسئلة الدعم الإضافية والمشاكل التي لا يأهل على حلها للتحديث المطلوب.

موارد الأمان

لمزيد من المعلومات حول الأمان في منتجات Microsoft، قم بزيارة موقع Microsoft TechNet على ويب التالي:

إخلاء مسؤولية


يتم توفير المعلومات المتوفرة في "قاعدة المعارف ل Microsoft" كما هي "دون ضمان من أي نوع. تخلى Microsoft مسؤوليتها تجاه كافة الضمانات، سواء صريحة أو ضمنية، بما في ذلك ضمانات القابلية للتسويق والملاءمة لغرض معين. في أي حال من شركة Microsoft أو مورديها مسؤولاً عن أية أضرار مهما كانت بما في ذلك مباشرة، غير المباشرة والعرضية، الأضرار، فقدان أرباح العمل أو أضرار خاصة، حتى لو تم إخطار شركة Microsoft أو مورديها بإمكانية حدوث مثل هذه الأضرار. لا تسمح بعض الولايات باستثناء أو تحديد المسؤولية عن الأضرار العرضية أو اللاحقة فقد لا يسري التحديد سالف الذكر.
خصائص

رقم الموضوع: 834438 - آخر مراجعة: 15‏/01‏/2017 - المراجعة: 1

تعليقات