IIS:n VeriSign-Web-palvelinsertifikaatit on päivitettävä heti: Vanhentunut VeriSign-välisertifikaatti saattaa johtaa muihin kuin vahvistettuihin sivustoyhteyksiin SSL:n avulla

Yhteenveto
Edellinen sertifikaatin myöntäjän VeriSignin 128-bittinen International (Global) Server -välisertifikaatti vanhentui 7.1.2004. Tämä saattaa aiheuttaa ongelmia asiakkaille, jotka yrittävät muodostaa palvelimen todentamia SSL (Secure Socket Layer) -yhteyksiä Web-palvelimiin ja muihin SSL/TLS:ää (Transport Layer Security) käyttäviin sovelluksiin, joiden sertifikaatit eivät ole ajan tasalla.

Estääkseen nämä ongelmat Microsoft Internet Information Services (IIS) -ylläpitäjien pitää ottaa yhteyttä VeriSigniin ja päivittää sertifikaatin myöntäjän välisertifikaatit niille palvelimille, jotka muodostavat yhteyden SHTP (Secure Hypertext Transfer Protocol) -protokollaa käyttäviin Web-sivustoihin 128-bittisen SSL-yhteyden avulla.

Vaikutus

Asiakkaat eivät pysty muodostamaan SSL-suojattuja yhteyksiä Web-palvelimiin, joiden sertifikaatit eivät ole päivitettyjä.

Suositus

Asenna VeriSign-välisertifikaatin päivitetty versio.

Ohjelmisto, johon tämä vaikuttaa

 • Microsoft Internet Information Server
 • Microsoft Internet Security and Acceleration Server
 • Microsoft Exchange
 • Microsoft SQL Server

Tekniset tiedot

Tekninen kuvaus

VeriSign ylläpitää useita sertifikaatteja ja sertifikaattien kumousluetteloita (CRL), jotka vanhentuvat tai ovat vanhentuneet. Tämä ei ole epätavallista. Yleensä sertifikaatit ja sertifikaattien kumousluettelot on suunniteltu lyhytikäisiksi. Sertifikaatit kuitenkin myönnetään toisinaan uudelleen, jolloin niiden elinkaari pitenee. Tämä ei yleensä ole ongelma, mutta se voi aiheuttaa ongelmia sellaisissa palvelimissa, jotka suojaavat resursseihinsa yhteyksiä muodostavat istunnot SSL:n (Secure Socket Layer) avulla.

Jos palvelimen ylläpitäjä asentaa VeriSignin SSL-sertifikaatin ja asiaankuuluvat sertifikaatin myöntäjän sertifikaatit ja myöhemmin uusii SSL-sertifikaatin VeriSignin kautta, hänen on varmistettava, että välisertifikaatit päivitetään samaan aikaan.

Jos haluat asentaa päivitetyt sertifikaatit, hae sertifikaattien uusimmat versiot ja niiden asennusohjeet seuraavasta VeriSignin Web-sivustosta:

Lisätietoja

X.509-sertifikaatin vahvistamisessa on useita vaiheita. Näihin vaiheisiin kuuluvat polun selvittäminen ja polun vahvistaminen.

Polun selvittäminen on prosessi, jossa tutkitaan, myönsikö sertifikaatin kelvollinen taho. Voit tehdä tämän useilla tavoilla, mukaan lukien seuraavat:
 • Asiakkaat ylläpitävät usein välisertifikaattien välimuistia. Välisertifikaatti on sertifikaatti, joka on osoittautunut hyödylliseksi selvitettäessä, onko sertifikaatin myöntänyt kelvollinen pääsertifikaattien myöntäjä.

  Sertifikaatit saattavat sisältää laajennuksia, jotka viittaavat hyödyllisiin lisätietoihin. Esimerkki tällaisesta laajennuksesta on AIA (Authoritative Information Access) -laajennus. AIA-laajennus saattaa sisältää viittauksen sertifikaatin myöntäjään.

  Huomautus Kaikki sertifikaatit eivät sisällä tätä viittausta. Esimerkiksi tähän ongelmaan liittyvät VeriSign-sertifikaatit eivät sisällä sitä. Microsoft on työskennellyt ja jatkaa edelleen työskentelyä sertifikaattien myöntäjien kanssa saadakseen nämä sisällyttämään nämä tiedot jatkossa myöntämiinsä sertifikaatteihin. Saat lisätietoja tästä laajennuksesta IETF:n (Internet Engineering Task Force) RFC (Request for Comments) -asiakirjasta 3280.
 • Palvelimet voivat antaa lisätiedot asiakkaalle. SSL on esimerkki tästä tekniikasta. Palvelin antaa asiakkaalle SSL-neuvottelussa oman sertifikaattinsa ja ne sertifikaatit, jotka palvelin on määrittänyt sellaisiksi, joita asiakas voi käyttää palvelimen tunnistetietojen selvittämisessä.

Polun vahvistaminen on prosessi, jossa selvitetty polku vahvistetaan. Polun vahvistamisessa jokaisen sertifikaatin allekirjoituksen salaus tarkistetaan kryptografisesti. Polun vahvistamisessa tarkistetaan myös, että sertifikaatin myöntäjän käytännöt ovat voimassa. Tällaisia käytäntöjä ovat esimerkiksi seuraavat:
 • Uskooko myöntäjä, että kyseinen sertifikaatti on edelleen kelvollinen ja että se henkilö, jolle se alun perin myönnettiin, hallitsee sitä edelleen? Tätä kutsutaan yleensä sertifikaatin kumoustarkistukseksi. Windows tukee salausobjektia (sertifikaattien kumousluetteloa eli CRL:ää), joka suorittaa tämän tarkistuksen.
 • Käytetäänkö sertifikaattia siihen tarkoitukseen, johon sen myöntäjä oli sen tarkoittanut? Esimerkiksi sähköpostia varten myönnettyyn sertifikaattiin ei pidä luottaa niin, että sen avulla varmistetaan, että Web-palvelin liittyy johonkin tiettyyn toimialueen nimeen (kuten SSL:ssä tehdään).
 • Ovatko sertifikaatit kelvollisia ajan suhteen? Sertifikaattien elinajat rajoitetaan suojaussyistä. Myöntäjä ei voi taata, että henkilöllä tai resurssilla on jotkin tietyt tunnistetiedot kauemmin kuin itse myöntäjä käsitetään luotettavaksi.

Usein kysyttyjä kysymyksiä

Onko tämä tietoturvaheikkous?

Ei. Tämä ei ole minkään tähän liittyvän tuotteen tietoturvaheikkous. Ongelma johtuu ainoastaan kolmannen osapuolen digitaalisen sertifikaatin vanhenemisesta.

Miten laaja ongelma on?

Tärkeä sertifikaattien myöntäjä VeriSign, Inc. vaihtoi VeriSign International Server CA - Class 3" -sertifikaattien myöntäjänsä sertifikaatit uusiin sertifikaatteihin, joiden kelvollisuusaika on aiempaa pidempi. Jos Web-palvelinoperaattorit uusivat SSL-sertifikaattinsa tämän jälkeen, heidän asiakkaansa saattavat kohdata ongelmia yrittäessään varmistaa, että heidän Web-palvelimensa todella liittyvät heidän organisaatioihinsa.

Miten tämä ongelma korjataan?

Voit korjata tämän ongelman päivittämällä kunkin Web-palvelimen sertifikaatin myöntäjän välisertifikaatin. Voit hankkia tämän sertifikaatin seuraavasta VeriSignin Web-sivustosta: Jos tämä on palvelimeen liittyvä ongelma, miksi asiakkaat kohtaavat ongelman?

Ongelma ilmenee, kun asiakas yrittää muodostaa suojatun yhteyden Web-palvelimeen. Palvelin välittää monet sertifikaatit takaisin asiakkaalle osana yhteyden muodostamisprosessia. Asiakas vahvistaa palvelimen sertifikaatin näiden sertifikaattien avulla. Tässä tapauksessa yksi sertifikaatin myöntäjän (VeriSign International Server CA - Class 3) välisertifikaatti on vanhentunut. Tämä välisertifikaatti ei ole kelvollinen. Siksi selain tuo näyttöön varoitussanoman ilmoittamaan käyttäjälle, että suojattua yhteyttä ei voitu muodostaa.

Liittyykö tämä Microsoftin sertifkaatteihin?

Ei. Nämä sertifikaatit myöntää ja omistaa VeriSign, Inc. VeriSign osallistuu Microsoftin ylläpitämään ohjelmaan. Tässä ohjelmassa kolmannen osapuolen luottamuksentoimittajat voivat auttaa suojaamaan Microsoft-asiakkaiden Internet-kaupankäyntiä. Saat lisätietoja tästä ohjelmasta seuraavasta Microsoftin Web-sivustosta: Mitkä sertifikaattien myöntäjät osallistuvat Microsoft Root Program -ohjelmaan?

Seuraavassa Microsoftin Web-sivustossa on tämänhetkinen luettelo niistä luotetuista kolmansista osapuolista, jotka on hyväksytty Microsoft Root Program -ohjelmaan: Päivittääkö Microsoft edelleen Microsoft Internet Explorerin käyttämiä sertifikaatteja?

Kyllä. Luotettujen pääsertifikaattien myöntäjien luettelo voidaan päivittää neljännesvuosittain osana Microsoft Root Program -ohjelmaa. Microsoft Windows XP:n ja Microsoft Windows Server 2003:n käyttäjillä tämä päivitys suoritetaan ketjunvahvistusmoduulissa, kun se kohtaa sertifikaatin, johon se ei luota. Kun näin tapahtuu, Windows Update -sivustoon otetaan yhteyttä, jotta voidaan varmistaa, onko sertifikaatti lisätty Root Program -ohjelmaan. Windows Update -sivustossa on julkaistu suositeltu paketti ladattavaksi Windows XP -asiakkaita ennen julkaistuille asiakkaille. Microsoft suosittelee, että yritykset päättävät itse, mihin luotettuihin kolmansiin osapuoliin yrityksen käyttäjien halutaan luottavan.

Huomautus Microsoft Root Program -ohjelman tarjoamat päivitykset eivät käsittele VeriSignin välisertifikaatin vanhentumisen aiheuttamia ongelmia.
Ratkaisu
Voit korjata tämän ongelman päivittämällä jokaisessa palvelimessa sertifikaatin myöntäjän välisertifikaattivaraston VeriSign International Server Intermediate CA:n uusimmaksi versioksi.
Suositukset
Seuraavaa Microsoftin Web-sivustossa on lisätietoja siitä, miten CryptoAPI luo sertifikaattiketjut ja vahvistaa kumoustilan:

Tuki

Luettelo Microsoftin tuotetukipalveluiden puhelinnumeroista ja tietoja tuen kustannuksista on seuraavassa Microsoftin Web-sivustossa:Huomautus Joissakin erityistapauksissa tuen käytön tavallisia kustannuksia ei peritä, mikäli Microsoftin tukihenkilö toteaa, että tietty päivitys ratkaisee ongelman. Tavalliset tukikustannukset pätevät lisäkysymyksiin ja ongelmiin, jotka eivät liity kyseessä olevaan päivitykseen.

Tietoturvaresurssit

Lisätietoja Microsoft-tuotteiden tietoturvasta on seuraavassa Microsoft TechNetin Web-sivustossa:

Ilmoitus

Microsoft Knowledge Base -tietokannan tiedot tarjotaan sellaisinaan ilman minkäänlaista takuuta. Microsoft ei anna minkäänlaista nimenomaisesti ilmaistua tai oletettua takuuta, mukaan lukien oletettua takuuta tuotteen soveltuvuudesta kaupankäynnin kohteeksi tai sopivuudesta johonkin tiettyyn tarkoitukseen. Missään tapauksessa Microsoft tai sen toimittajat eivät ole vastuussa mistään vahingoista (mukaan lukien suorat, epäsuorat, välilliset tai satunnaiset vahingot sekä liikevoiton menetys tai erityiset vahingot), vaikka Microsoftille tai sen toimittajille olisi ilmoitettu tällaisten vahinkojen mahdollisuudesta. Jotkin valtiot eivät salli välillisten tai satunnaisten vahinkojen vahingonkorvausvastuun poissulkemista tai rajoittamista, joten edellä mainitut rajoitukset eivät välttämättä ole voimassa.
Ominaisuudet

Artikkelin tunnus: 834438 – Viimeisin tarkistus: 12/04/2007 03:46:00 – Versio: 5.3

Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 5.0, Microsoft Internet Information Server 4.0

 • kbinfo KB834438
Palaute