Microsoft Security Advisory 4010323
Deprecazione di SHA-1 per i certificati SSL/TLS in Microsoft Edge e Internet Explorer 11
Pubblicato: 9 maggio 2017
Versione: 1.0
Schema riepilogativo
A partire dal 9 maggio 2017, Microsoft ha rilasciato aggiornamenti a Microsoft Edge e Internet Explorer 11 per bloccare i siti protetti con un certificato SHA-1 dal caricamento e per visualizzare un avviso di certificato non valido. Questa modifica influirà solo sui certificati SHA-1 concatenati a una radice nel programma radice attendibile Microsoft in cui il certificato dell'entità finale o l'intermedio emittente usa SHA-1. I certificati SHA-1 aziendali o autofirmati non saranno interessati, anche se si consiglia a tutti i clienti di eseguire rapidamente la migrazione ai certificati basati su SHA-2. Per altre informazioni, vedere Imposizione di Windows dei certificati SHA1.
Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 4010323.
Dettagli avviso
Riferimenti ai problemi
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
| Riferimenti | Riferimenti |
|---|---|
| Informazioni generali | Imposizione di Windows dei certificati SHA1 |
| \ | Conto alla rovescia della deprecazione SHA-1 |
| Requisiti tecnici | Protezione da algoritmi crittografici deboli |
Software interessato
Questo avviso si applica ai sistemi operativi seguenti:
| Windows 7 |
|---|
| Windows 7 per sistemi a 32 bit Service Pack 1 |
| Windows 7 per sistemi basati su x64 Service Pack 1 |
| Windows Server 2008 R2 |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 |
| Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 |
| Windows 8.1 |
| Windows 8.1 per sistemi a 32 bit |
| Windows 8.1 per sistemi basati su x64 |
| Windows Server 2012 R2 |
| Windows Server 2012 R2 |
| Windows 10 |
| Windows 10 per sistemi a 32 bit |
| Sistemi basati su Windows 10 per x64 |
| Windows 10 versione 1511 per sistemi a 32 bit |
| Windows 10 versione 1511 per sistemi basati su x64 |
| Windows 10 versione 1607 per sistemi a 32 bit |
| Windows 10 versione 1607 per sistemi basati su x64 |
| Windows Server 2016 |
| Windows Server 2016 per sistemi basati su x64 |
| Opzione di installazione dei componenti di base del server |
| Windows Server 2008 R2 per sistemi basati su x64 (installazione Server Core) |
| Windows Server 2012 R2 (installazione di Server Core) |
| Windows Server 2016 per sistemi basati su x64 (installazione server core) |
Domande frequenti sugli avvisi
Qual è l'ambito dell'avviso?
Questo avviso mira a aiutare i clienti a valutare il rischio di determinate applicazioni che usano certificati digitali X.509 firmati usando l'algoritmo hash SHA-1 e di consigliare agli amministratori e alle autorità di certificazione di usare SHA-2 al posto di SHA-1 come algoritmo per la firma di certificati digitali.
Si tratta di una vulnerabilità di sicurezza che richiede a Microsoft di eseguire un aggiornamento della sicurezza?
No. Microsoft consiglia a tutti i clienti di eseguire la migrazione a SHA-2 e l'uso di SHA-1 come algoritmo hash a scopo di firma è sconsigliato e non è più una procedura consigliata. Anche se non si tratta di una vulnerabilità in un prodotto Microsoft, Microsoft sta inviando questo avviso per chiarire il rischio effettivo coinvolto nei clienti.
Che cosa causa questa minaccia?
La causa principale del problema è una debolezza nota dell'algoritmo hash SHA-1 che lo espone agli attacchi di collisione. Tali attacchi potrebbero consentire a un utente malintenzionato di generare certificati aggiuntivi con la stessa firma digitale di un originale. L'uso di certificati SHA-1 per scopi specifici che richiedono resistenza a questi attacchi è sconsigliato. Microsoft ha richiesto a Microsoft di non usare più l'algoritmo hash SHA-1 come impostazione predefinita nel software Microsoft. Per altre informazioni sulla debolezza della collisione SHA-1, vedere SHAttered: the first collision for full SHA-1 (ShAttered: the first collision for full SHA-1).
Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, nota come chiave privata, deve essere mantenuta segreta. L'altra chiave, nota come chiave pubblica, è destinata a essere condivisa con il mondo. Tuttavia, deve esserci un modo per consentire al proprietario della chiave di indicare al mondo a chi appartiene la chiave. I certificati digitali consentono di eseguire questa operazione. Un certificato digitale è una credenziale elettronica usata per certificare le identità online di singoli utenti, organizzazioni e computer. I certificati digitali contengono una chiave pubblica in pacchetto con informazioni su di esso, ovvero chi ne è proprietario, cosa può essere usato per, alla scadenza e così via. Per altre informazioni, vedere Informazioni sui certificati digitali.
Qual è lo scopo di un certificato digitale?
I certificati digitali vengono usati principalmente per verificare l'identità di una persona o di un dispositivo, autenticare un servizio o crittografare i file. In genere, non è necessario considerare affatto i certificati, a parte il messaggio occasionale che informa che un certificato è scaduto o non valido. In questi casi, è necessario seguire le istruzioni fornite nel messaggio.
Che cos'è un'autorità di certificazione (CA)?
Le autorità di certificazione sono le organizzazioni che rilasciano certificati. Stabiliscono e verificano l'autenticità delle chiavi pubbliche che appartengono a persone o altre autorità di certificazione e verificano l'identità di una persona o di un'organizzazione che richiede un certificato.
Azioni suggerite
Esaminare le modifiche ai criteri del programma radice attendibile Microsoft
I clienti interessati a saperne di più sull'argomento trattato in questo avviso devono esaminare l'applicazione di Windows dei certificati SHA1.Aggiornamento da SHA-1 a SHA-2
Le autorità di certificazione non hanno consentito di emettere nuovi certificati SHA-1 a partire da gennaio 2016. I clienti devono assicurarsi che le autorità di certificazione usino l'algoritmo hash SHA-2 per ottenere i certificati SHA-2 dalle autorità di certificazione. Per firmare il codice con certificati SHA-2, vedere le indicazioni su questo argomento in Applicazione di Windows dei certificati SHA1.Impatto dell'azione: le soluzioni basate su hardware meno recenti possono richiedere l'aggiornamento per supportare queste tecnologie più recenti.
Mantenere Aggiornato Windows
Tutti gli utenti di Windows devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano protetti il più possibile. Se non si è certi che il software sia aggiornato, visitare Windows Update, analizzare il computer per individuare gli aggiornamenti disponibili e installare eventuali aggiornamenti ad alta priorità offerti all'utente. Se è abilitato il Aggiornamenti automatico, gli aggiornamenti vengono recapitati quando vengono rilasciati, ma è necessario assicurarsi di installarli.
Altre informazioni
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni, vedere Supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (9 maggio 2017): Avviso pubblicato.
Pagina generata 2017-05-08 17:41-07:00.