Az IIS rendszerben használt VeriSign webkiszolgáló-tanúsítványok azonnali frissítést igényelnek: A lejárt VeriSign középszintű tanúsítványok megakadályozhatják az SSL-védelmet alkalmazó webhelyekhez való csatlakozást

Összefoglaló

A VeriSign korábbi, 128 bites International (Global) Server Intermediate típusú hitelesítésszolgáltatói tanúsítványai 2004. január 7-én lejártak. Ez problémát okozhat azokon az ügyfélszámítógépeken, amelyek kiszolgáló által hitelesített SSL-kapcsolatot próbálnak létesíteni olyan webkiszolgálókkal vagy más, SSL/Transport Layer Security (TLS) védelmet használó alkalmazásokkal, amelyek nem rendelkeznek a legfrissebb tanúsítványokkal.

E problémák kiküszöbölése érdekében a Microsoft Internet Information Services (IIS) operátoroknak javasoljuk, hogy a VeriSign cégnél frissíttessék középszintű hitelesítésszolgáltatói tanúsítványaikat azokon a kiszolgálókon, amelyek 128 bites SSL-kapcsolattal csatlakoznak Secure Hypertext Transfer Protocol protokollt használó webhelyekhez.

Hatás

Az ügyfélszámítógépek nem tudnak SSL-kapcsolatot létesíteni olyan webhelyekkel, amelyek nem rendelkeznek friss tanúsítvánnyal.

Javaslat

Telepítse a VeriSign középszintű tanúsítvány frissített verzióját.

Érintett szoftverek

 • Microsoft Internet Information Server
 • Microsoft Internet Security and Acceleration Server
 • Microsoft Exchange
 • Microsoft SQL Server

Technikai részletek

Technikai leírás

A VeriSign számos olyan tanúsítványt és CRL (visszavont tanúsítványok listája) listát tart fenn, amely hamarosan lejár vagy már lejárt. Ez a gyakorlat nem ritka. Általában a tanúsítványokat és CRL-eket szándékosan rövid életűre tervezik. Egyes esetekben azonban a tanúsítványok élettartamát újraérvényesítéssel meghosszabbítják. Ez általában nem jelent gondot, ám olyan kiszolgálók esetében előfordulhat probléma, amelyek az erőforrásaikhoz csatlakozó munkamenetek védelmét SSL segítségével biztosítják.

Ha a kiszolgáló működtetője telepít egy a VeriSign-től származó SSL-tanúsítványt a hozzá tartozó kibocsátási tanúsítványokkal együtt, majd később a VeriSign-nél megújíttatja az SSL-tanúsítványt, gondoskodnia kell arról, hogy ezzel egyidőben a középszintű kibocsátási tanúsítványok frissítése is megtörténjen.

Ha telepíteni szeretné a frissített tanúsítványokat, a legújabb verziókat és a telepítési instrukciókat a VeriSign webhely következő címén találja:

További tudnivalók

Az X.509 típusú tanúsítványok érvényesítése több fázisból álló folyamat. E fázisok közé tartozik az útvonalfelmérés és az útvonal-érvényesítés.

Az útvonalfelmérés annak kiderítésére szolgál, hogy a tanúsítványt érvényes entitás bocsátotta-e ki. Ez a felmérés többféle módszerrel végezhető el, például a következővel:
 • Az ügyfélszámítógépek sok esetben középszintű tanúsítványaikat egy erre kijelölt tárban tartják fenn. A középszintű tanúsítványok olyan tanúsítványok, amelyek hasznosnak bizonyultak annak megállapításában, hogy egy adott tanúsítványt valóban egy érvényes legfelsőbb szintű hitelesítésszolgáltató bocsátott-e ki.

  A tanúsítványok tartalmazhatnak olyan kiterjesztéseket, melyeken keresztül további vonatkozó információ érhető el. Az ilyen típusú kiterjesztések egy példája az Authoritative Information Access (AIA) kiterjesztés. Az AIA-kiterjesztés tartalmazhat egy a tanúsítvány kibocsátójához vezető mutatót.

  Megjegyzés Nem minden tanúsítványban található meg ez a mutató, így az itt leírt problémában szerepet játszó VeriSign-tanúsítványokban sem. A Microsoft a tanúsítványkibocsátó szervezeteknél – azokkal aktívan együttműködve – igyekszik elérni, hogy a jövőben általuk kibocsátandó tanúsítványokban helyezzék el ezt az adatot. Ha szeretne többet megtudni erről a kiterjesztésről, olvassa el az Internet Engineering Task Force (IETF) 3280-as számú RFC-kérelmét.
 • Az ügyfeleket a kiszoglálók is elláthatják a kiegészítő információval. Ennek az eljárásnak egy példája az SSL. Az SSL-adategyeztetés során az ügyfélszámítógépet a kiszolgáló látja el saját tanúsítványával, valamint azokkal a kiszolgáló által meghatározott tanúsítványokkal, amelyeket az ügyfél a kiszolgáló identitásának megállapítására használhat.

Az útvonal-érvényesítés a felmért útvonal érvényességének az ellenőrzése. Az útvonal-érvényesítés a vizsgált tanúsítványon szereplő aláírások kriptográfiai ellenőrzését foglalja magában. A folyamat emellett azt is ellenőrzi, hogy a kibocsátó által megállapított szabályok érvényben vannak-e. Ilyen szabály lehet a következő:
 • Meg van-e győződve a kibocsátó arról, hogy a kérdéses tanúsítvány jelenleg is érvényes és az eredeti tulajdonos birtokában van? Ez az eljárást gyakran nevezik „tanúsítvány-visszavonási ellenőrzésnek”. Ez az ellenőrzés egy a Windows által támogatott kriptográfiai objektum, a CRL (visszavont tanúsítványok listája) felhasználásával történik.
 • A tanúsítványt arra a célra használják fel, amelyet a kibocsátó meghatározott? Például egy e-mail üzenetekhez kibocsátott tanúsítvány nem adhat hiteles megerősítést arról, hogy (az SSL eljárásnak megfelelően) egy webkiszolgáló egy bizonyos tartománynévvel van-e társítva.
 • Lejárati idejét tekintve érvényes-e a tanúsítvány? A tanúsítványok élettartamát biztonsági okokból korlátozzák. A kibocsátó csak addig tanúsíthatja egy személy vagy erőforrás identitásának valódiságát, amíg ő maga megbízhatónak számít.

Gyakran feltett kérdések

Az itt leírt probléma egy biztonsági rés?

Nem. A probléma az érintett programok egyikében sem jelent biztonsági sérülékenységet. A probléma csupán amiatt jelentkezik, hogy egy harmadik fél digitális tanúsítványa túllépi lejárati idejét.

Milyen kiterjedésű a probléma?

A VeriSign, Inc., az egyik legnagyobb hitelesítő szervezet, nemrégiben hosszabb élettartamú tanúsítványokkal újította meg „VeriSign International Server CA - Class 3” hitelesítésszolgáltatóját. Azoknál a webkiszolgálóknál, amelyek működtetői ezt a megújítást követően megújították SSL-tanúsítványaikat, a kiszolgálót igénybe vevő ügyfelek problémát észlelhetnek, amikor ellenőrizni próbálják, hogy webkiszolgálójuk ténylegesen a szervezetükkel vannak-e társítva.

Hogyan oldható meg ez a probléma?

A probléma megszüntetéséhez manuálisan kell frissítenie minden webkiszolgálón a középszintű hitelesítésszolgáltatói tanúsítványokat. E tanúsítványt a VeriSign webhely következő címén szerezheti be: Ha a kiszolgálóval van probléma, akkor az ügyfélszámítógépeken miért jelentkezik?

A probléma akkor jelentkezik, amikor egy ügyfélszámítógép védelemmel ellátott kapcsolatot próbál létesíteni a webkiszolgálóval. A kapcsolat létrehozása során a kiszolgáló számos tanúsítványt küld vissza az ügyfélnek. Az ügyfél e tanúsítványok segítségével ellenőrzi a kiszolgálói tanúsítvány érvényességét. Esetünkben a középszintű tanúsítványok szolgáltatóinak egyike (a „VeriSign International Server CA - Class 3” hitelesítésszolgáltató) lejárt. A hozzá tartozó középszintű tanúsítvány nem érvényes. Ezért a böngésző figyelmeztető üzenetben tájékoztatja a felhasználót arról, hogy nem sikerült létrehozni a biztonságos kapcsolatot.

A probléma Microsoft-tanúsítványokat is érint?

Nem. Az érintett tanúsítványok tulajdonosa és kibocsátója a VeriSign, Inc. A VeriSign cég egy a Microsoft által fenntartott programban vesz részt. A programban részt vevő külső bizalomszolgáltatók azon munkálkodnak, hogy a Microsoft ügyfelei számára biztonságossá tegyék az internetes kereskedelmet. A programról a Microsoft következő webhelyén talál további információt: Mely hitelesítésszolgáltatók vesznek részt a Microsoft Root Program elnevezésű programban?

A Microsoft Root Programban való részvételre kvalifikált megbízható külső szolgáltatók aktuális listáját a Microsoft következő webhelyén találja: A Microsoft továbbra is frissíti a Microsoft Internet Explorer által használt tanúsítványokat?

Igen. A Microsoft Root Program részeként a megbízható legfelsőbb szintű hitelesítésszolgáltatók listája negyedévenként frissíthető. A Microsoft Windows XP és a Microsoft Windows Server 2003 rendszeren ez a frissítés a láncérvényesítőben történik meg akkor, amikor az nem megbízható tanúsítvánnyal találkozik. Ekkor a rendszer a Windows Update webhely segítségével ellenőrzi, hogy a tanúsítvány a Root Program résztvevője-e. A Windows XP-nél korábbi rendszert futtató ügyfelek számára a Windows Update webhelyről manuálisan letölthető egy ajánlott frissítéscsomag. A Microsoft azt javasolja a vállalatoknak, hogy maguk határozzák meg, mely megbízható külső cégeket szeretnék felhasználóik számára megbízhatóként feltüntetni.

Megjegyzés A Microsoft Root Program által közzétett frissítések nem szüntetik meg a VeriSign középszintű tanúsítványainak lejártával kapcsolatos problémát.

A megoldás

Ezt a problémát úgy szüntetheti meg, ha minden egyes kiszolgálón a VeriSign International Server Intermediate hitelesítésszolgáltató legújabb verziójára frissíti a középszintű hitelesítésszolgáltatói tanúsítványok tárolóját.

Hivatkozások

A Microsoft következő webhelyén részletes ismertetést olvashat arról, hogy a CryptoAPI hogyan hozza létre a tanúsítványláncokat és ellenőrzi a visszavonási állapot érvényességét:

Támogatás

A Microsoft terméktámogatási szolgáltatások telefonszámainak teljes listáját és a támogatási díjakra vonatkozó információkat a Microsoft következő webhelyén találja:Megjegyzés: Bizonyos esetekben a telefonos támogatásért felszámított díjak elengedhetők, amennyiben a Microsoft támogatási szakembere megállapítja, hogy egy adott frissítés megoldja a szóban forgó problémát. A további, támogatással kapcsolatos, de nem a kérdéses frissítéshez kapcsolódó kérdésekre a szokásos támogatási díjak érvényesek.

Biztonsággal kapcsolatos források

A Microsoft termékeiben megvalósított biztonsági szolgáltatásokról a Microsoft TechNet következő webhelyén talál bővebb információt:

Felelősséget kizáró nyilatkozat

A Microsoft Tudásbázisban szereplő információkat a cég a jelen formájukban teszi közzé, bármiféle garanciavállalás nélkül. A Microsoft elhárít mindennemű kifejezett vagy vélelmezett felelősséget, ideértve a forgalmazhatóságot és adott célra való alkalmasságot szavatoló garanciákat is. A Microsoft Corporation és szállítói semmilyen esetben sem vállalnak felelősséget az esetleges károkért – ideértve a közvetlen, közvetett, véletlen vagy járulékos károkat, valamint az üzleti haszon elmaradásából származó és a különleges károkat –, akkor sem, ha a Microsoft Corporationt vagy szállítóit tájékoztatták az ilyen károk bekövetkeztének a lehetőségéről. Egyes országokban nem engedélyezett a járulékos vagy véletlen károkért való felelősség kizárása vagy korlátozása; ez esetben a fent leírt korlátozás nem érvényes.
Tulajdonságok

Cikkazonosító: 834438 - Utolsó ellenőrzés: 2007. dec. 3. - Verziószám: 1

Visszajelzés