Opdater VeriSign Web Server-certifikater til IIS nu: Når et midlertidigt VeriSign-certifikat udløber, kan det resultere i ikke-godkendte forbindelser til websteder via SSL

Sammenfatning

Det forrige midlertidige VeriSign 128-bit International (Global) Server-certifikat fra et nøglecenter udløb den 7. januar 2004. Det kan forårsage problemer for klienter, der forsøger at etablere servergodkendte SSL-forbindelser (Secure Socket Layer) til webservere og andre SSL/TLS-aktiverede (Transport Layer Security) programmer, der ikke har opdaterede certifikater.

Microsoft IIS-operatører (Internet Information Services) kan forhindre disse problemer ved at kontakte VeriSign for at få opdateret de midlertidige nøglecentercertifikater til servere, der bruger 128-bit SSL til at oprette forbindelse med websteder med SHTTP (Secure Hypertext Transfer Protocol).

Virkning

Klienter kan ikke etablere SSL-beskyttede forbindelser til webservere, der ikke har opdaterede certifikater.

Anbefaling

Installer den opdaterede version af det midlertidige VeriSign-certifikat.

Programmer, der påvirkes

 • Microsoft IIS (Internet Information Server)
 • Microsoft ISA (Internet Security and Acceleration Server)
 • Microsoft Exchange
 • Microsoft SQL Server

Tekniske detaljer

Teknisk beskrivelse

VeriSign vedligeholder mange certifikater og lister over tilbagekaldte certifikater, der er ved at udløbe, eller der er udløbet. Dette er ikke usædvanligt. Ofte er certifikater og lister over tilbagekaldte certifikater udarbejdet til at vare i kort tid. Certifikater genudstedes dog sommetider for at give dem lidt længere levetid. Det er sædvanligvis ikke noget problem, men det kan være problematisk for servere, der bruger SSL som hjælp til at beskytte sessioner, der opretter forbindelse til deres ressourcer.

Hvis en serveroperatør installerer et SSL-certifikat fra VeriSign sammen med de relevante certifikater, der er udstedt af nøglecentre, og serveroperatøren senere fornyer SSL-certifikatet via VeriSign, skal operatøren sikre sig, at de midlertidigt udstedte certifikater samtidig opdateres.

Hvis du vil installere de opdaterede certifikater, skal du besøge følgende VeriSign-websted, hvor du kan finde de nyeste versioner af disse certifikater samt en vejledning til, hvordan de skal installeres:

Yderligere oplysninger

Valideringen af et X.509-certifikat omfatter flere faser. Disse faser er f.eks. lokalisering af sti og validering af sti.


Lokaliseringen af stien er en proces, hvor du kan afgøre, om et certifikat er udstedt af en gyldig enhed. Til det formål kan du bruge mange teknikker, blandt andet følgende:
 • På klienter vedligeholdes ofte en cache med midlertidige certifikater. Et midlertidigt certifikat er et certifikat, der har vist sig nyttigt, når det skulle afgøres, om et certifikat i sidste instans var blevet udstedt af et gyldigt rodnøglecenter.

  Certifikater kan indeholde udvidelser, der rummer henvisninger til yderligere relevante oplysninger. Et eksempel på denne type udvidelse er AIA (Authoritative Information Access). AIA-udvidelsen kan indeholde en henvisning til udstederen af certifikatet.

  Bemærk! Ikke alle certifikater indeholder denne henvisning, heller ikke de VeriSign-certifikater, der omfattes af det aktuelle problem. Microsoft har og vil fortsat samarbejde aktivt med certifikatudstedere for at opfordre dem til at inkludere disse oplysninger i de certifikater, som de udsteder fremover. Yderligere oplysninger om denne udvidelse kan du finde i IETF RCF 3280 (Internet Engineering Task Force Request for Comments).
 • Servere kan levere yderligere oplysninger til klienter. SSL er et eksempel på denne teknik. I SSL-forhandlingen forsyner serveren klienten med sit eget certifikat og de certifikater, som serveren har bestemt, at klienten kan bruge til at afgøre serverens identitet.

Valideringen af stien er den proces, hvor den lokaliserede sti kontrolleres. Valideringen af stien omfatter den kryptografiske kontrol af signaturerne på et certifikat. Valideringen af stien omfatter også kontrol af, om udstederens politikker efterleves. Eksempler på sådanne politikker:
 • Mener udstederen, at det pågældende certifikat stadig er gyldigt og stadig kontrolleres af den person, det oprindeligt er udstedt til? Dette omtales også som "kontrol af tilbagekaldte lister". Til udførelse af denne kontrol understøtter Windows et kryptografisk objekt, en liste over tilbagekaldte certifikater.
 • Tjener certifikatet det formål, som udstederen havde tænkt sig, det skulle tjene? Når det skal fastslås, om en webserver er tilknyttet et bestemt domænenavn (som det sker i SSL), bør man f.eks. ikke have tillid til et certifikat, der er udstedt til e-mail.
 • Er certifikaterne gyldige over tid? Certifikaters levetid er begrænset af sikkerhedsmæssige årsager. En udsteder kan ikke bekræfte, at en person eller en ressource har en bestemt identitet i længere tid, end man har tillid til udstederen.

Ofte stillede spørgsmål

Er dette en sikkerhedsrisiko?

Nej. Det er ikke en sikkerhedsrisiko i nogen af de berørte produkter. Problemet opstår udelukkende, når en tredjeparts digitale certifikat udløber.

Hvor stort er problemet?

For nylig fornyede et af de større nøglecentre, VeriSign, Inc., deres nøglecenter "VeriSign International Server CA - Class 3" med certifikater, der har en længere gyldighedsperiode. Hvis webserveroperatører har fornyet deres SSL-certifikater efter dette tiltag, kan deres kunder få problemer, når de prøver at kontrollere, om deres webservere faktisk er knyttet til deres organisation.

Hvordan løses problemet?

Du kan løse problemet ved manuelt at opdatere det midlertidige nøglecentercertifikat på hver webserver. Hvis du vil hente certifikatet, skal du besøge følgende VeriSign-websted: Hvis dette er en serverfejl, hvorfor oplever klienter så problemet?

Problemet opstår, når klienten prøver at oprette forbindelse med forbedret sikkerhed til en webserver. Som en del af processen med at oprette forbindelse sender serveren mange certifikater tilbage til klienten. Klienten bruger disse certifikater til at kontrollere serverens certifikat. I dette tilfælde er et af de midlertidige nøglecentercertifikater udløbet, nemlig "VeriSign International Server CA - Class 3" CA. Det midlertidige certifikat er ikke gyldigt. Brugeren får derfor vist en meddelelse i browseren, hvor det forklares, at der ikke kunne oprettes forbindelse med forbedret sikkerhed.


Er Microsoft-certifikaterne involveret?

Nej. Disse certifikater er udstedt og ejes af VeriSign, Inc. VeriSign deltager i et program, som vedligeholdes af Microsoft. I dette program kan tredjepartsudbydere, der er tillid til, hjælpe med at sikre internethandel for Microsofts kunder. Yderligere oplysninger om programmet kan du finde på følgende Microsoft-websted: Hvilke nøglecentre deltager i Microsoft Root Program?

En oversigt over de aktuelle tredjeparter, der er tillid til, og som har kvalificeret sig til Microsoft Root Program, finder du på følgende Microsoft-websted: Opdaterer Microsoft stadigvæk de certifikater, som Microsoft Internet Explorer bruger?

Ja. Som en del af Microsoft Root Program kan listen over rodnøglecentre opdateres en gang i kvartalet. For brugere af Microsoft Windows XP og Microsoft Windows Server 2003 sker denne opdatering i kædevalideringsprogrammet, når den møder et certifikat, der ikke er tillid til. Når det sker, kontaktes Windows Update for at bekræfte, om certifikatet er føjet til Microsoft Root Program. På klienter fra før Windows XP udgives en anbefalet pakke på Windows Update, som kan hentes manuelt. Microsoft anbefaler, at firmaerne selv træffer beslutning om, hvilke tredjeparter brugerne i deres firmaer skal have tillid til.

Bemærk! De opdateringer, som Microsoft Root Program indeholder, afhjælper ikke de problemer, som opstår ved udløbet af det midlertidige VeriSign-certifikat.

Løsning

Du kan løse problemet ved at opdatere nøglecentrets midlertidige lager af CA-certifikater på alle dine servere til den nyeste version af VeriSign International Server Intermediate CA.

Referencer

Yderligere oplysninger om, hvordan CryptoAPI opbygger certifikatkæder og kontrollerer tilbagekaldelsesstatus, finder du på følgende Microsoft-websted:

Support

En fuldstændig liste over telefonnumre til Microsoft Produktsupport og oplysninger om prisen på support finder du på følgende Microsoft-websted:Bemærk! I særlige tilfælde kan de almindelige gebyrer for opkald til Support bortfalde, hvis Microsofts supporttekniker vurderer, at en bestemt opdatering kan løse problemet. De sædvanlige supportomkostninger gælder for supplerende supportspørgsmål og -problemer, der ikke falder ind under den omtalte opdatering.

Sikkerhedsressourcer

Yderligere oplysninger om sikkerheden i forbindelse med Microsoft-produkter finder du på følgende Microsoft TechNet-websted:

Ansvarsfraskrivelse

De oplysninger, der findes i Microsoft Knowledge Base, gives "som de er og forefindes" uden garanti af nogen art. Desuden fraskriver Microsoft sig ethvert ansvar, både stiltiende og udtrykkeligt, herunder ansvar for salgbarhed eller egnethed til bestemte formål. Microsoft Corporation eller Microsofts leverandører er på ingen måde ansvarlige for skader af nogen art, herunder direkte, indirekte, hændelige skader eller følgeskader, driftstab eller særlige skader, selvom Microsoft Corporation eller Microsofts leverandører er blevet underrettet om muligheden for sådanne skader. I visse lande er det ikke tilladt at fraskrive sig eller begrænse ansvaret for følgeskader eller hændelige skader, hvorfor ovenstående begrænsning måske ikke gælder.
Egenskaber

Artikel-id: 834438 – Seneste udgave 3. dec. 2007 – Udgave 1

Feedback