Советы по безопасности Майкрософт 4010323
Прекращение использования SHA-1 для SSL/TLS-сертификатов в Microsoft Edge и Internet Обозреватель 11
Опубликовано: 9 мая 2017 г.
Версия: 1.0
Краткий обзор
Начиная с 9 мая 2017 г. корпорация Майкрософт выпустила обновления Microsoft Edge и Internet Обозреватель 11 для блокировки сайтов, защищенных сертификатом SHA-1 от загрузки и отображения предупреждения о недопустимом сертификате. Это изменение влияет только на сертификаты SHA-1, цепочки которых связаны с корнем в корневой программе Майкрософт, где сертификат конечной сущности или выдача промежуточного уровня использует SHA-1. Корпоративные или самозаверяющие сертификаты SHA-1 не будут затронуты, хотя мы рекомендуем всем клиентам быстро перенести сертификаты на основе SHA-2. Дополнительные сведения см. в статье о применении сертификатов SHA1 в Windows.
Дополнительные сведения см. в статье базы знаний Майкрософт 4010323.
Сведения о рекомендациях
Ссылки на проблемы
Дополнительные сведения об этой проблеме см. в следующих ссылках:
| Ссылки | Ссылки |
|---|---|
| Общие сведения | Принудительное применение сертификатов SHA1 |
| \ | Отсчет отмены sha-1 |
| Технические требования | Защита от слабых криптографических алгоритмов |
Затронутого программного обеспечения
Эти рекомендации применяются к следующим операционным системам:
| Windows 7 |
|---|
| Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) |
| Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1) |
| Windows Server 2008 R2 |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (SP1) |
| Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1) |
| Windows 8.1 |
| Windows 8.1 для 32-разрядных систем |
| Windows 8.1 для систем на основе x64 |
| Windows Server 2012 R2 |
| Windows Server 2012 R2 |
| Windows 10 |
| Windows 10 для 32-разрядных систем |
| Windows 10 для систем на основе x64 |
| Windows 10 версии 1511 для 32-разрядных систем |
| Windows 10 версии 1511 для систем на основе x64 |
| Windows 10 версии 1607 для 32-разрядных систем |
| Windows 10 версии 1607 для систем на основе x64 |
| Windows Server 2016 |
| Windows Server 2016 для систем на основе x64 |
| Вариант установки основных серверных компонентов |
| Windows Server 2008 R2 для систем на основе x64 (установка основных серверных компонентов) |
| Windows Server 2012 R2 (установка основных серверных компонентов) |
| Windows Server 2016 для систем на основе x64 (установка основных серверных компонентов) |
Вопросы и ответы о рекомендациях
Что такое область рекомендаций?
Эти рекомендации помогают клиентам оценить риск некоторых приложений, использующих цифровые сертификаты X.509, подписанные с помощью алгоритма хэширования SHA-1, и рекомендовать администраторам и центрам сертификации использовать SHA-2 вместо SHA-1 в качестве алгоритма подписывания цифровых сертификатов.
Это уязвимость безопасности, требующая от Майкрософт выдачи обновления безопасности?
№ Корпорация Майкрософт рекомендует всем клиентам переходить на SHA-2, а использование SHA-1 в качестве хэширования алгоритма для подписывания не рекомендуется и больше не рекомендуется. Хотя эта уязвимость не является уязвимостью в продукте Майкрософт, корпорация Майкрософт выдает эти рекомендации для уточнения фактического риска, связанного с клиентами.
Что вызывает эту угрозу?
Первопричиной проблемы является известная слабость алгоритма хэширования SHA-1, который предоставляет его для атак столкновений. Такие атаки могут позволить злоумышленнику создавать дополнительные сертификаты, имеющие ту же цифровую подпись, что и исходный. Использование сертификатов SHA-1 в конкретных целях, требующих сопротивления этим атакам, не рекомендуется. В Корпорации Майкрософт жизненный цикл разработки безопасности требует от корпорации Майкрософт больше не использовать алгоритм хэширования SHA-1 в качестве программного обеспечения Майкрософт по умолчанию. Дополнительные сведения о слабости столкновений SHA-1 см. в разделе SHAttered: Первое столкновение для полного SHA-1.
Что такое цифровой сертификат?
В криптографии открытого ключа один из ключей, известный как закрытый ключ, должен храниться в секрете. Другой ключ, известный как открытый ключ, предназначен для совместного использования с миром. Тем не менее, должен быть способ для владельца ключа, чтобы сказать миру, кому принадлежит ключ. Цифровые сертификаты предоставляют способ сделать это. Цифровой сертификат — это электронные учетные данные, используемые для сертификации сетевых удостоверений отдельных лиц, организаций и компьютеров. Цифровые сертификаты содержат открытый ключ, упакованный вместе с информацией об этом , кто владеет им, что он может использоваться, когда срок действия и т. д. Дополнительные сведения см. в разделе "Основные сведения о цифровых сертификатах".
Какова цель цифрового сертификата?
Цифровые сертификаты используются в основном для проверки удостоверения человека или устройства, проверки подлинности службы или шифрования файлов. Как правило, нет необходимости думать о сертификатах вообще, помимо случайного сообщения о том, что срок действия сертификата истек или недопустим. В таких случаях следует следовать инструкциям, указанным в сообщении.
Что такое центр сертификации (ЦС)?
Центры сертификации — это организации, которые выдают сертификаты. Они устанавливают и проверяют подлинность открытых ключей, принадлежащих людям или другим центрам сертификации, и проверяют удостоверение человека или организации, запрашивающего сертификат.
Предлагаемые действия
Просмотр изменений политики доверенных корневых программ Майкрософт
Клиенты, которые заинтересованы в изучении дополнительных вопросов, описанных в этом совете, должны ознакомиться с применением сертификатов SHA1 в Windows.Обновление с SHA-1 до SHA-2
Центрам сертификации запрещено выдавать новые сертификаты SHA-1 с января 2016 года. Клиенты должны убедиться, что центры сертификации используют алгоритм хэширования SHA-2 для получения сертификатов SHA-2 от своих центров сертификации. Чтобы подписать код с помощью сертификатов SHA-2, ознакомьтесь с инструкциями по этому разделу в статье о применении сертификатов SHA1 в Windows.Влияние действий: для поддержки этих новых технологий может потребоваться обновление старых аппаратных решений.
Сохранение Обновл. Windows
Все пользователи Windows должны применять последние обновления системы безопасности Майкрософт, чтобы убедиться, что их компьютеры защищены как можно больше. Если вы не уверены, обновлено ли ваше программное обеспечение, посетите Обновл. Windows, проверьте компьютер на наличие доступных обновлений и установите все обновления с высоким приоритетом, предлагаемые вам. Если у вас включена автоматическая Обновления, обновления доставляются вам при их выпуске, но их необходимо установить.
Другие сведения
Feedback
- Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.
Поддержка
- Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности. Дополнительные сведения см. в справке и поддержке Майкрософт.
- Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения см. в статье "Международная поддержка".
- Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.
Заявление об отказе
Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- Версия 1.0 (9 мая 2017 г.): рекомендации, опубликованные.
Страница создана 2017-05-08 17:41-07:00.