Con l'estensione dello sfruttamento digitale in aumento, Microsoft è venuto fuori con un avviso che non intratterrà più i certificati digitali con meno di 1024 bit di potenza. Nell'agosto 2012, Microsoft ha emesso un avviso sulla sicurezza che non supporterà i certificati digitali RSA dal 9 ottobre 2012. Devi aggiorna i tuoi certificati digitali RSA prima di tale data, la data limite per bloccare i certificati deboli (meno di 1024 bit).
La maggior parte dei certificati digitali impiegano l'algoritmo RSA per i certificati utilizzati con i siti Web, per firmare digitalmente e crittografare i file. La forza dell'algoritmo RSA si basa sul numero di bit utilizzati. I certificati RSA identificano un individuo, un'organizzazione e file come autentici e originali. Se utilizzati con e-mail e altri tipi di file di dati, i certificati digitali RSA consentono di impedire la manomissione dei contenuti dei file nel senso che avviseranno gli utenti in caso di manipolazione dei file originali. Fino ad ora, la maggior parte delle autorità di certificazione (CA) ha fornito certificati digitali con meno di 1024 bit. Data la base dello sfruttamento delle risorse online manipolate e sfruttate, la società di software afferma che è tempo che gli amministratori IT aggiornino i loro certificati digitali RSA per proteggere gli utenti da qualsiasi tipo di vulnerabilità.
Microsoft ha detto che fornirà un aggiornamento automatico su 9 ottobre 2012 che aggiornerà i sistemi operativi e altri prodotti per non riconoscere siti Web e articoli utilizzando i certificati digitali RSA con una resistenza inferiore a 1024 bit. Alcuni esperti dicono che questa decisione è venuta in seguito allo sfruttamento della gamma di sistemi operativi Windows da parte di malware come Flame, ecc. Altri affermano che Microsoft stava lavorando su questo da molto tempo. Qualunque sia la ragione, è il momento di rispolverare i certificati digitali e aggiornarli a una potenza di almeno 1024 bit. La forza di un certificato digitale RSA è misurata dal tempo impiegato per decodificare la chiave privata del certificato. Per rafforzare la protezione, le persone devono aggiungere più forza ai certificati.
Essere consapevoli del fatto che la società afferma 1024 bit come minimo. Per una migliore protezione e per evitare aggiornamenti simili nel prossimo futuro, si consiglia di andare per punti di forza superiori a 2048 bit.
Cosa succede se non si aggiornano i certificati digitali RSA?
Riceverai messaggi di errore del tipo mostrato di seguito e, peggio, le tue applicazioni potrebbero non funzionare correttamente.
C'è un problema con il certificato di sicurezza di questo sito
Secondo l'Advisory Microsoft sulla sicurezza, l'aggiornamento non influirà su Windows 8 e Windows 2012 Server poiché dispongono già della funzione integrata per bloccare i deboli certificati RSA con lunghezza inferiore a 1024 bit. Altri sistemi operativi e software saranno aggiornati il 9 ottobre 2012 per agire di conseguenza, per bloccare i deboli certificati RSA. Di seguito sono riportati alcuni dei problemi che le persone possono affrontare se i certificati digitali RSA non vengono aggiornati (come indicato nell'articolo della Microsoft KB 2661254):
- Le autorità di certificazione non possono emettere certificati RSA con meno di 1024 bit;
- Il processo di autorizzazione alla certificazione (certsvc) non verrà avviato se il certificato digitale RSA è debole;
- Internet Explorer bloccherà l'accesso ai siti Web con deboli certificati digitali RSA;
- Outlook 2010 non sarà in grado di firmare digitalmente le e-mail e gli utenti non saranno in grado di criptare le e-mail. Se l'e-mail era già stata crittografata utilizzando un certificato RSA più debole, può ancora essere decifrata dopo l'aggiornamento;
- Se gli utenti ricevono un'e-mail firmata dal certificato digitale RSA inferiore a 1024 bit, riceveranno un avviso che dice che il certificato non può essere considerato attendibile - inviando segnali sull'originalità e l'autenticità dell'email;
- Outlook non si connetterà a Exchange Server con certificati RSA inferiori a 1024 bit. Gli utenti vedranno un avviso che dice che il certificato non può essere considerato attendibile e quindi è stato bloccato;
- Durante l'installazione di prodotti con certificati RSA deboli, gli utenti riceveranno avvisi sul certificato che scoraggerà gli utenti a installare il prodotto "non attendibile";
- Secondo l'Advisory "I computer System Center HP-UX PA-RISC che utilizzano un certificato RSA con una chiave da 512 bit genereranno avvisi di heartbeat e il monitoraggio dei computer di Operations Manager fallirà. Verrà generato anche un "Errore certificato SSL" con la descrizione "verifica del certificato firmato". "Fare clic qui per ulteriori informazioni sui computer HP UX PA RISC con una lunghezza della chiave di 512 bit.
Il team di Microsoft TechNet ha una discussione su FAQ dettagliate e azioni suggerite sul suo blog.
Come rilevare se il certificato RSA è debole
L'articolo della Knowledge Base 2661254 ha suggerito il seguente metodo per verificare se si possiedono certificati digitali RSA deboli.
Tutti i certificati digitali RSA possono essere aperti facendo doppio clic sulla relativa icona. Dettagli sulla certificazione possono essere visualizzati nella scheda Dettagli dopo aver aperto il certificato digitale. Dovrebbe esserci un campo denominato "Chiave pubblica" che mostra il numero di bit utilizzati dal certificato.
Esistono alcuni altri metodi elencati nell'articolo 2661254 della Knowledgey KB. Vi consiglio di controllare anche il metodo CAPI2. Ti aiuterà a identificare tutti i certificati con una forza di cifratura debole. Il metodo è descritto nell'articolo KB 2661254 collegato sopra.
Soluzione alternativa per accedere a siti Web e programmi con certificati digitali RSA deboli
Sebbene abbia consigliato agli amministratori IT di aggiornare i loro certificati digitali RSA con un minimo di 1024 bit, Microsoft offre una soluzione alternativa per accedere a siti Web e programmi con certificati digitali deboli. Dice che potrebbe volerci un po 'di tempo prima che tutti gli amministratori possano aggiornare i loro certificati e quindi gli utenti possono utilizzare la soluzione alternativa per accedere a certificati digitali RSA deboli anche se siti Web e programmi stanno rinnovando e aggiornando i loro certificati. La soluzione alternativa consiste nel modificare il registro di Windows. Consulta la sezione Consenti lunghezze chiave inferiori a 1024 bit utilizzando le impostazioni del Registro di sistema in RISOLUZIONE nell'articolo KB collegato per ottimizzare il registro di Windows utilizzando il certutil comando.
Notare che ci sono due sezioni: una dice RISOLUZIONI (plurale) e l'altra dice RISOLUZIONE (singolare). È necessario controllare la sezione RISOLUZIONI (plurale) per la soluzione alternativa per consentire temporanea temporanea di certificati digitali RSA deboli.
Microsoft fornisce aggiornamenti nella sezione RISOLUZIONE dell'articolo KB 2661254. Queste patch aggiornano il sistema per aumentare i livelli minimi di crittografia nella gamma di sistemi operativi Windows in modo da non dover affrontare problemi di accesso a certificati digitali RSA forti. Controlla il sistema operativo menzionato contro le patch (incluso 32 o 64 bit) prima di scaricarle per assicurarti di scaricare l'aggiornamento corretto.
Per riassumere, l'età dei certificati digitali RSA a 512 bit è finita. È necessario passare a punti di forza più forti per una migliore protezione contro lo sfruttamento dei dati.
