Comunicado de Segurança da Microsoft 4010323

Reprovação do SHA-1 para certificados SSL/TLS

Publicado em: 9 de maio de 2017

Versão: 1.0

Resumo executivo

Em vigor a partir de 9 de maio de 2017, a Microsoft lançou atualizações para o Microsoft Edge e o Internet Explorer 11 para bloquear o carregamento de protegidos com um certificado SHA-1 e para exibir um aviso de certificado inválido. Essa alteração apenas afetará certificados SHA-1 que formam cadeia com uma raiz no Programa de Raiz Confiável da Microsoft na qual o certificado da entidade final ou do intermediário emissor usar SHA-1. Certificados SHA-1 autoassinados ou corporativos não serão afetados. Mesmo assim, recomendamos que todos os clientes migrem rapidamente para certificados baseados em SHA-2. Para obter mais informações, consulte Imposição de certificados SHA1 pelo Windows.

Para obter mais informações, consulte o artigo 4010323 da Base de Dados de Conhecimento Microsoft.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

Referências Referências
Informações Gerais Imposição de certificados SHA1 pelo Windows

Contagem regressiva para reprovação do SHA-1
Requisitos técnicos Proteção contra algoritmos de criptografia fracos

Softwares afetados

Este comunicado aplica-se aos seguintes sistemas operacionais:

Windows 7
Windows 7 Service Pack 1 para sistemas de 32 bits
Windows 7 Service Pack 1 para sistemas com base em x64
Windows Server 2008 R2
Windows Server 2008 R2 Service Pack 1 para sistemas com base em x64
Windows Server 2008 R2 Service Pack 1 para sistemas baseados em Itanium
Windows 8.1
Windows 8.1 para sistemas de 32 bits
Windows 8.1 para sistemas baseados em x64
Windows Server 2012 R2
Windows Server 2012 R2
Windows 10
Windows 10 para sistemas de 32 bits[1]
Windows 10 para sistemas baseados em x64[1]
Windows 10 versão 1511 para sistemas de 32 bits[1]
Windows 10 versão 1511 para sistemas baseados em x64[1]
Windows 10 versão 1607 para sistemas de 32 bits[1]
Windows 10 versão 1607 para sistemas baseados em x64[1]
Windows Server 2016
Windows Server 2016 para sistemas com base em x64
Opção de instalação Server Core
Windows Server 2008 R2 para sistemas baseados em x64 (instalação do núcleo do servidor)
Windows Server 2012 R2 (instalação Server Core)
Windows Server 2016 para sistemas com base em x64 (instalação Server Core)

Perguntas frequentes do comunicado

Qual é o escopo do comunicado?
Este comunicado pretende ajudar os clientes a avaliar o risco de determinados aplicativos que usam certificados digitais X.509 que são assinados usando o algoritmo hashing SHA-1 e recomendar que os administradores e as autoridades de certificado usem o SHA-2 no lugar do SHA-1 como um algoritmo para assinar certificados digitais.

Trata-se de uma vulnerabilidade de segurança que requer a publicação de uma atualização pela Microsoft?
Não. A Microsoft recomenda que todos os clientes migrem para o SHA-2, e o uso do SHA-1 como algoritmo hashing para assinaturas é desestimulado e não é mais uma prática recomendada.Embora isso não seja uma vulnerabilidade em um produto da Microsoft, a Microsoft está emitindo este comunicado para ajudar a esclarecer o risco real envolvido aos clientes.

O que provoca essa ameaça?
A principal causa do problema é um ponto fraco conhecido do algoritmo hashing SHA-1 que o expõe a ataques de colisão. Tais ataques podem permitir que um atacante gere certificados adicionais com a mesma assinatura digital que a do original. O uso de certificados SHA-1 para propósitos específicos que exigem resistência contra esses ataques não é recomendado. Na Microsoft, o Security Development Lifecycle exigiu que a Microsoft não usasse mais o algoritmo hashing SHA-1 como padrão em softwares da Microsoft. Para obter mais informações sobre o ponto fraco de colisão do SHA-1 consulte o artigo SHAttered: The first collision for full SHA-1.

O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, deve ser compartilhada com todos. No entanto, deve haver uma forme de o proprietário da chave contar a todos a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Certificado digital é uma credencial eletrônica usada para certificar as identidades online de indivíduos, organizações e computadores. Os certificados digitais contêm uma chave pública com informações sobre ela - quem a possui, com que propósito ela pode ser usada, quando ela expira, etc.Para obter mais informações, consulte o tópico Compreendendo certificados digitais.

Qual o propósito de um certificado digital?
Os certificados digitais são usados, principalmente, para verificar a identidade de uma pessoa ou de um dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente, não há necessidade de pensar sobre certificados, a não ser uma mensagem ocasional declarando que um certificado é expirado ou está inválido. Nesses casos, você deve seguir as instruções da mensagem.

O que é uma autoridade de certificação (CA)?
As autoridades de certificação são as organizações que publicam certificados. Elas estabelecem e verificam a autenticidade das chaves públicas que pertencem às pessoas ou a outras autoridades de certificação, e elas verificam a identidade de uma pessoa ou organização que solicita um certificado.

Ações sugeridas

  • Rever as alterações de políticas do Programa de Raiz Confiável da Microsoft

    Os clientes que estiverem interessados em obter mais informações sobre o tópico abordado neste comunicado devem consultar Imposição de certificados SHA1 pelo Windows.

  • Atualização de SHA-1 para SHA-2

    As autoridades de certificado estão proibidas de emitir novos certificados SHA-1 desde janeiro de 2016. Os clientes devem assegurar que as suas autoridades de certificado usam o algoritmo hashing SHA-2 para obterem certificados SHA-2 de suas autoridades de certificado. Para assinar código com certificados SHA-2, consulte a diretriz sobre este tópico em Imposição de certificados SHA1 pelo Windows.

    Impacto da ação: Soluções com base em hardware mais antigas podem exigir atualizações para oferecer suporte a essas tecnologias mais recentes.

  • Mantenha o Windows atualizado

    Todos os usuários do Windows devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estão protegidos ao máximo. Se você não tiver certeza de que seu software está atualizado, visite o Windows Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se o recurso Atualizações automáticas estiver ativado, as atualizações serão fornecidas quando forem lançadas, mas você precisará instalá-las.

Outras informações

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (9 de maio de 2017): Comunicado publicado.

Página gerada em 02/05/2017 10:27-07:00.