Webservercertificaten van VeriSign moeten worden bijgewerkt voor IIS: een verlopen tussenliggend VeriSign-certificaat kan resulteren in niet-geverifieerde verbindingen met sites die gebruikmaken van SSL

Samenvatting

Het vorige internationale (globale) tussenliggende certificaat (128-bits) van VeriSign is verlopen op 7 januari 2004. Dit kan problemen opleveren voor clients die een SSL-verbinding (Secure Socket Layer) proberen te maken met webservers en andere toepassingen die gebruikmaken van SSL of TLS (Transport Layer Security) en die niet beschikken over bijgewerkte certificaten.

Mensen die met Microsoft Internet Information Services (IIS) werken, dienen contact op te nemen met VeriSign om de tussenliggende certificaten bij te werken voor servers die gebruikmaken van 128-bits SSL om verbinding te maken met websites via het SHTTP-protocol (Secure Hypertext Transfer Protocol).

Impact

Clients kunnen geen SSL-beveiligde verbindingen maken met webservers die niet beschikken over bijgewerkte certificaten.

Aanbeveling

Installeer de bijgewerkte versie van het tussenliggende VeriSign-certificaat.

Software waarop dit betrekking heeft

 • Microsoft Internet Information Server
 • Microsoft ISA Server (Internet Security and Acceleration)
 • Microsoft Exchange
 • Microsoft SQL Server

Technische gegevens

Technische beschrijving

VeriSign onderhoudt veel certificaten en CRL's (Certificate Revocation List) die (bijna) zijn verlopen. Dit is niet ongebruikelijk. De korte levensduur is inherent aan certificaten en CRL's. Soms worden certificaten echter opnieuw uitgegeven waardoor ze langer meekunnen. Over het algemeen levert dat geen problemen op, maar er kunnen problemen optreden bij servers die gebruikmaken van SSL om sessies te beschermen die verbinding maken met hun bronnen.

Als een serverbeheerder een SSL-certificaat van VeriSign installeert in combinatie met de relevante certificaten van certificeringsinstanties en hij later het SSL-certificaat vernieuwt via VeriSign, moet hij ervoor zorgen dat de tussenliggende certificaten op hetzelfde moment ook worden bijgewerkt.

Als u de bijgewerkte certificaten wilt installeren, gaat u naar de volgende website van VeriSign voor de laatste versies van deze certificaten en de bijbehorende installatie-instructies:

Aanvullende informatie

De validatie van een X.509-ceritificaat vindt plaats in verschillende fasen. Deze fasen bestaan uit het ontdekken van het pad en het valideren van het pad.


Tijdens het ontdekken van het pad wordt bepaald of een certificaat is uitgegeven door een geldige instantie. U kunt hiervoor verschillende technieken gebruiken, bijvoorbeeld:
 • Clients onderhouden vaak een cache met tussenliggende certificaten. Een tussenliggend certificaat is een certificaat dat nuttig is gebleken bij het bepalen of een certificaat uiteindelijk is uitgegeven door een geldige certificeringsinstantie.

  Certificaten mogen alleen extensies bevatten die naar relevante aanvullende informatie verwijzen. Een voorbeeld van dit type extensie is de AIA-extensie (Authoritative Information Access). De AIA-extensie kan een verwijzing bevatten naar de uitgever van het certificaat.

  Opmerking Niet alle certificaten bevatten deze verwijzing, waaronder de VeriSign-certificaten die betrokken zijn bij dit probleem. Microsoft heeft altijd al actief samengewerkt met uitgevers van certificaten om hen aan te moedigen om deze informatie op te nemen in certificaten die ze in de toekomst uit brengen. Meer informatie over deze extensie kunt u vinden in Internet Engineering Task Force (IETF) Request for Comments (RFC) 3280.
 • Servers kunnen de aanvullende informatie naar de client sturen. SSL is een voorbeeld van deze techniek. Tijdens de SSL-onderhandeling stuurt de server het eigen certificaat naar de client, samen met de certificaten waarvan de server heeft bepaald dat de client hiermee de identiteit van de server kan vaststellen.

Tijdens het valideren van het pad wordt het ontdekte pad geverifieerd. Dit proces bestaat uit de cryptografische verificatie van elke handtekening op een certificaat. Het valideren van het pad omvat ook een controle of het beleid van de uitgever afgedwongen is. Dergelijk beleid bestaat uit de volgende controles:
 • Gelooft de uitgever dat het betreffende certificaat nog steeds geldig is en nog steeds onder het beheer valt van de persoon aan wie het oorspronkelijk was verleend? Dit gedrag wordt vaak “controle op ingetrokken certificaten” genoemd. In Windows wordt een cryptografisch object, een CRL, gebruikt om deze verificatie uit te voeren.
 • Wordt het certificaat gebruikt voor het beoogde doel? Een certificaat dat bijvoorbeeld was verleend voor e-mail moet niet worden vertrouwd als het bevestigt dat een webserver aan een bepaalde domeinnaam is gekoppeld (zoals dat gebeurt bij SSL).
 • Zijn de certificaten nog geldig? Om veiligheidsredenen hebben certificaten slechts een beperkte levensduur. Een uitgever kan alleen certificeren dat een individu of een bron een bepaalde identiteit heeft gedurende de periode dat de uitgever als betrouwbaar wordt beschouwd.

Veelgestelde vragen

Is dit een beveiligingsprobleem?

Nee. Dit is geen beveiligingsprobleem voor een van de betrokken producten. Het probleem doet zich alleen voor omdat het digitale certificaat van een andere leverancier is verlopen.

Wat is de omvang van het probleem?

VeriSign, Inc., een belangrijke certificeringsinstantie, heeft onlangs haar certificeringsinstantie “VeriSign International Server CA - Class 3” uitgebreid met een langere geldigheidsduur. Als webserverbeheerders hun SSL-certificaten hebben verlengd na deze verlenging, kunnen hun klanten problemen ondervinden wanneer ze proberen te valideren of hun webservers werkelijk zijn gekoppeld aan hun organisatie.

Hoe wordt dit probleem opgelost?

U kunt dit probleem handmatig oplossen door het tussenliggende certificaat van de certificeringsinstantie (CA) bij te werken op elke webserver. U kunt het certificaat downloaden van de volgende website van VeriSign: Dit is een serverprobleem. Waarom treedt het probleem dan op clients op?

Het probleem treedt op wanneer een client een beveiligde verbinding probeert te maken met een webserver. Een deel van het verbindingsproces bestaat eruit dat de server veel certificaten terugstuurt naar de client. De clientcomputer gebruikt deze certificaten om het certificaat van de server te valideren. In dit geval is een van de tussenliggende certificeringsinstanties (“VeriSign International Server CA - Class 3”) verlopen. Dit tussenliggende certificaat is niet geldig. Er wordt daarom een waarschuwingsbericht weergegeven in de browser waarin wordt uitgelegd dat er geen beveiligde verbinding tot stand kan worden gebracht.


Zijn er Microsoft-certificaten betrokken bij dit probleem?

Nee. VeriSign, Inc. is de uitgever en eigenaar van deze certificaten. VeriSign is deelnemer van een programma dat wordt verzorgd door Microsoft. In dit programma kunnen andere fabrikanten helpen om zakelijk internetgebruik veiliger te maken voor klanten van Microsoft. Op de volgende Microsoft-website vindt u meer informatie over dit programma: Welke certificeringsinstanties nemen deel aan het programma van Microsoft?

Een lijst met de fabrikanten die zijn goedgekeurd in het kader van het programma van Microsoft vindt u op de volgende Microsoft-website: Worden de certificaten die in Microsoft Internet Explorer worden gebruikt nog bijgewerkt?

Ja. Een deel van het Microsoft-programma bestaat uit de driemaandelijkse update van de lijst met vertrouwde instanties. Voor gebruikers van Microsoft Windows XP en Microsoft Windows Server 2003 vindt deze update plaats in de engine voor de validatie van certificaatketens wanneer deze wordt geconfronteerd met een certificaat dat niet wordt vertrouwd. Wanneer dit gedrag optreedt, wordt er verbinding gemaakt met de website Windows Update om te controleren of het certificaat is toegevoegd aan het Root-programma. Voor clients met een ouder besturingssysteem, wordt er een aanbevolen pakket gepubliceerd op de website Windows Update dat handmatig kan worden gedownload. Microsoft raadt bedrijven aan om zelf te beslissen welke andere fabrikanten de gebruikers in hun bedrijf kunnen vertrouwen.

Opmerking De updates die worden verstrekt door het Root-programma van Microsoft hebben geen betrekking op de problemen die ontstaan door het verlopen van de tussenliggende certificaten van VeriSign.

Oplossing

U kunt dit probleem oplossen door het tussenliggende CA-certificaatarchief op elke server bij te werken met de laatste versie van de VeriSign International Server Intermediate CA.

Referenties

Als u meer informatie wilt over de manier waarop CryptoAPI certificaatketens opbouwt en de intrekkingsstatus valideert, gaat u naar de volgende Microsoft-website:

Ondersteuning

Een volledige lijst met telefoonnummers van Microsoft Product Support Services en informatie over kosten van ondersteuning vindt u op de volgende Microsoft-website:Opmerking In speciale gevallen kunnen kosten die normaal verbonden zijn aan ondersteuningsoproepen, worden geannuleerd als een medewerker van Microsoft Productondersteuning van mening is dat een specifieke update de oplossing van uw probleem is. De normale ondersteuningskosten blijven gelden voor extra ondersteuningsvragen die niet in aanmerking komen voor de specifieke update.

Beveiligingsbronnen

Op de volgende Microsoft TechNet-website vindt u meer informatie over de beveiliging van Microsoft-producten:

Vrijwaring


De informatie in de Microsoft Knowledge Base wordt in de huidige vorm zonder enige garantie verstrekt. Microsoft verleent geen enkele garantie, noch uitdrukkelijk noch impliciet, met inbegrip van garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. Microsoft Corporation of haar toeleveranciers zijn in geen geval aansprakelijk voor enige schade, met inbegrip van directe, indirecte, incidentele schade, gevolgschade, winstderving of speciale schade, zelfs indien Microsoft Corporation of haar toeleveranciers van de mogelijkheid van dergelijke schade op de hoogte zijn gesteld. Aangezien het in sommige staten/rechtsgebieden niet is toegestaan de aansprakelijkheid voor gevolgschade of incidentele schade uit te sluiten of te beperken, zijn de bovenstaande beperkingen mogelijk niet van toepassing op uw situatie.
Eigenschappen

Artikel-id: 834438 - Laatst bijgewerkt: 4 dec. 2007 - Revisie: 1

Feedback