Aktualizace certifikátů webového serveru společnosti VeriSign pro server IIS: Zprostředkovaný certifikát společnosti VeriSign se skončenou platností může vést k neověřeným připojením k webům pomocí protokolu SSL

Souhrn
Předchozímu 128bitovému certifikátu certifikační autority International (Global) Server Intermediate společnosti VeriSign vypršela platnost 7. ledna 2004. To může způsobit potíže klientům, kteří chtějí vytvořit připojení ověřená serverem pomocí protokolu SSL (Secure Socket Layer) s webovými servery a jinými aplikacemi používajícími protokoly SSL/TLS, které nepoužívají aktuální certifikáty.

Chcete-li těmto potížím předejít, měli by operátoři služby IIS (Internetová informační služba společnosti Microsoft) kontaktovat společnost VeriSign a aktualizovat zprostředkované certifikáty certifikačního úřadu pro servery, které používají 128bitový protokol SSL pro připojení k webovým serverům pomocí protokolu HTTPS (Secure Hypertext Transfer Protocol).

Výsledek

Klienti nemohou vytvořit připojení chráněná protokolem SSL k webovým serverům, které nepoužívají aktualizované certifikáty.

Doporučení

Nainstalujte aktualizovanou verzi zprostředkovaného certifikátu společnosti VeriSign.

Ovlivněný software

 • Microsoft Internet Information Server
 • Microsoft Internet Security and Acceleration Server
 • Microsoft Exchange
 • Microsoft SQL Server

Podrobné technické informace

Technický popis

Společnost VeriSign udržuje mnoho certifikátů a seznamů odvolaných certifikátů, jejichž platnost končí nebo již skončila. To není neobvyklé. Certifikáty a seznamy odvolaných certifikátů jsou obvykle navrženy s krátkou dobou platnosti. Certifikáty jsou však někdy vydány znovu, aby byla jejich životnost prodloužena. Obecně to není problém, může to však způsobit potíže u serverů používajících protokol SSL k ochraně relací, které se připojují k jejich prostředkům.

Pokud operátor serveru nainstaluje certifikát SSL od společnosti VeriSign spolu s odpovídajícími certifikáty vydanými certifikační autoritou a později prostřednictvím společnosti VeriSign certifikát SSL obnoví, musí zajistit, aby byly současně aktualizovány zprostředkované certifikáty.

Chcete-li nainstalovat aktualizované certifikáty, navštivte následující web společnosti VeriSign, kde získáte nejnovější verze těchto certifikátů a pokyny k jejich instalaci:

Další informace

Ověření certifikátu X.509 zahrnuje několik fází. Tyto fáze zahrnují zjištění cesty a ověření cesty.

Zjištění cesty je proces určující, zda byl certifikát vydán platnou entitou. K tomuto procesu můžete použít různé techniky, včetně následujících:
 • Klienti často udržují mezipaměť obsahující zprostředkované certifikáty. Zprostředkovaný certifikát je certifikát, který byl ověřen jako užitečný při určování, zda byl certifikát vydán platnou kořenovou certifikační autoritou.

  Certifikáty mohou obsahovat přípony, které odkazují na další důležité informace. Příkladem tohoto typu přípony je přípona AIA (Authoritative Information Access). Přípona AIA může obsahovat ukazatel označující vystavitele certifikátu.

  Poznámka Ne všechny certifikáty obsahují ukazatele, včetně certifikátů společnosti VeriSign, kterých se toto téma týká. Společnost Microsoft aktivně spolupracuje s vystaviteli certifikátů a podporuje je, aby tyto informace zahrnovali do certifikátů vydávaných v budoucnosti. Další informace o této příponě naleznete v dokumentu RFC (Request for Comments) číslo 3280 instituce Internet Engineering Task Force (IETF).
 • Servery mohou klientovi poskytnout další informace. Příkladem tohoto postupu je protokol SSL. Při vyjednávání protokolu SSL poskytne server klientovi vlastní certifikát a certifikáty, které server určil pro klienta k zjištění identity serveru.

Ověření cesty je proces ověřující zjištěnou cestu. Toto ověření zahrnuje ověření šifrování všech podpisů certifikátu. Obsahuje také ověření, zda jsou vynuceny zásady vystavitele. Mezi tyto zásady patří:
 • Věří vystavitel, že je daný certifikát dosud platný a je stále pod kontrolou osoby, pro kterou byl původně vydán? Toto chování se často popisuje jako kontrola odvolaných certifikátů. K provedení tohoto ověření podporuje systém Windows šifrovací objekt – seznam odvolaných certifikátů.
 • Je certifikát používán k účelu, ke kterému byl vystavitelem určen? Certifikát vydaný pro e-mail by například neměl být používán k potvrzení, že je webový server spojen s určitým názvem domény (jak je tomu u protokolu SSL).
 • Jsou certifikáty časově platné? Z bezpečnostních důvodů je životnost certifikátů omezena. Vystavitel nemůže potvrdit, že jednotlivec nebo prostředek má určitou identitu po delší dobu, než po jakou je vystavitel považován za důvěryhodného.

Nejčastější dotazy

Jedná se o oslabení zabezpečení?

Ne. Tento problém nepředstavuje oslabení zabezpečení u žádného z ovlivněných produktů. Tento problém je způsoben vypršením platnosti digitálního certifikátu jiného výrobce.

Jaký je rozsah problému?

Společnost VeriSign Inc., která je významnou certifikační autoritou, nedávno obnovila svoji certifikační autoritu VeriSign International Server CA - Class 3 pomocí certifikátů, které mají delší dobu platnosti. Pokud operátoři webových serverů po tomto obnovení své certifikáty SSL obnovili, mohou mít jejich zákazníci problémy při ověřování, zda jsou jejich webové servery skutečně spojeny s jejich organizacemi.

Jak lze tento problém vyřešit?

Tento problém lze vyřešit ruční aktualizací zprostředkovaného certifikátu certifikační autority na každém webovém serveru. Chcete-li získat tento certifikát, navštivte následující web společnosti VeriSign: Jestliže se jedná o problém týkající se serveru, proč mají problémy klienti?

Problém se objeví, pokud se klient pokusí vytvořit zabezpečené připojení k webovému serveru. Jako součást procesu vytvoření připojení předává server zpět klientovi mnoho certifikátů. Klient používá tyto certifikáty k ověření certifikátu serveru. V tomto případě jednomu z úřadů poskytujících zprostředkované certifikáty (VeriSign International Server CA – Class 3) skončila platnost. Tento zprostředkovaný certifikát není platný. Prohlížeč proto zobrazí uživateli upozornění, že zabezpečené připojení nelze vytvořit.

Týká se problém certifikátů společnosti Microsoft?

Ne. Tyto certifikáty jsou vydány a vlastněny společností VeriSign, Inc. Společnost VeriSign se účastní programu, který je spravován společností Microsoft. V tomto programu pomáhají zprostředkovatelé důvěryhodnosti jiných výrobců zabezpečit pro zákazníky společnosti Microsoft obchodování pomocí Internetu. Další informace o tomto programu naleznete na následujícím webu společnosti Microsoft: Které certifikační autority se účastní programu Microsoft Root Program?

Aktuální seznam důvěryhodných jiných výrobců kvalifikovaných pro program Microsoft Root Program získáte na následujícím webu společnosti Microsoft: Aktualizuje společnost Microsoft ještě certifikáty používané aplikací Microsoft Internet Explorer?

Ano. Jako součást programu Microsoft Root Program lze seznam důvěryhodných kořenových úřadů čtvrtletně aktualizovat. Pro uživatele systémů Microsoft Windows XP a Microsoft Windows Server 2003 proběhne tato aktualizace v modulu pro řetězcové ověření, je-li mu předložen certifikát, kterému nedůvěřuje. Dojde-li k tomuto chování, je kontaktován systém Windows Update, aby ověřil, zda byl certifikát přidán do programu Root Program. Pro klienty systémů starších než systém Windows XP je v systému Windows Update publikován doporučený balíček k ručnímu stažení. Společnost Microsoft společnostem doporučuje, aby prováděly vlastní rozhodnutí týkající se jiných výrobců, kterým mají uživatelé v jejich společnosti důvěřovat.

Poznámka: Aktualizace poskytované programem Microsoft Root Program se nevztahují na problémy způsobené ukončením platnosti zprostředkovaného certifikátu společnosti VeriSign.
Řešení
Chcete-li tento problém vyřešit, aktualizujte úložiště zprostředkovaných certifikátů na každém z vašich serverů na nejnovější verzi poskytovanou certifikační autoritou International Server Intermediate společnosti VeriSign.
Odkazy
Další informace o vytváření řetězců certifikátů a ověřování stavu odvolání rozhraním CryptoAPI získáte na následujícím webu společnosti Microsoft:

Podpora

Úplný seznam telefonních čísel služby podpory produktů společnosti Microsoft a informace o cenách podpory naleznete na tomto webu společnosti Microsoft:Poznámka: Ve zvláštních případech nemusí být poplatky za poskytnutí podpory účtovány, pokud pracovník služeb podpory společnosti Microsoft potvrdí, že tato zvláštní oprava odstraní vaše potíže. Výdaje na odbornou pomoc se obvykle týkají dalších otázek a problémů, které nelze vyřešit určitou konkrétní aktualizací.

Zdroje zabezpečení

Další informace o zabezpečení v produktech společnosti Microsoft získáte na následujícím webu programu Microsoft TechNet:

Zřeknutí se záruky

Informace poskytované ve znalostní bázi Microsoft Knowledge Base jsou poskytovány „tak, jak jsou“, bez jakýchkoli záruk. Společnost Microsoft neuznává žádné záruky, výslovně uvedené či mlčky předpokládané, včetně záruk vztahujícím se k obchodovatelnosti a vhodnosti pro určitý účel. Společnost Microsoft ani její dodavatelé nejsou v žádném případě zodpovědni za žádné škody, včetně přímých, nepřímých, náhodných či následných škod, ztráty zisku či zvláštních škod, a to i v případě, že společnost Microsoft a její dodavatelé byli na možnost takových škod upozorněni. V některých zemích není dovoleno vyloučit nebo omezit odpovědnost za následné nebo nepřímé škody, proto se výše uvedené omezení na vás nemusí vztahovat.
Vlastnosti

ID článku: 834438 - Poslední kontrola: 12/03/2007 16:53:00 - Revize: 5.3

Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 5.0, Microsoft Internet Information Server 4.0

 • kbinfo KB834438
Váš názor