Microsoft 安全性摘要報告 (2607712)

為何於 2011 年 9 月 19 日修訂此摘要報告？ 
Microsoft 修訂此摘要報告，以宣佈重新發行 KB2616676 更新。此重新發行版本現已成為積存更新，可解決一項於 Microsoft 知識庫文件編號 2616676 中所述的已知問題。原始的 KB2616676 更新僅針對支援版本的 Windows XP 與 Windows Server 2003，且不包含 KB2607712 與 KB2524375 更新中內含的數位憑證。

使用支援版本 Windows XP 與 Windows Server 2003 的客戶應套用重新發行的 KB2616676 更新，以避免受此摘要報告所述之偽憑證影響。使用支援版本 Windows Vista、Windows 7、Windows Server 2008，與 Windows Server 2008 R2 的客戶不受此重新發行版本影響。

注意：支援版本 Windows XP 與 Windows Server 2003 的客戶若已全數套用原始的 KB2616676、KB2607712 與 KB2524375 更新，便不會收到此更新，這是因為這個重新發行的套件屬於積存更新，內容包含上述三個更新套件的所有變更。

大部分客戶都已啟用自動更新，因此不必採取任何行動，因為系統會自動下載和安裝 KB2616676 更新程式。

Windows 開發人員預覽是否會受到此問題影響？ 
是。KB2616676 更新可供 Windows 開發人員預覽版本使用。建議 Windows 開發人員預覽的客戶將更新套用至其系統。該更新只在Microsoft Update提供。

為何於 2011 年 9 月 13 日修訂此摘要報告？ 
Microsoft 修訂此摘要報告，是為了宣佈發行可解決此問題的 KB2616676 更新。該更新會將由 Entrust 或 GTE 交叉簽署的六個其他 DigiNotar 根憑證新增到 Microsoft 不信任憑證存放區。KB2616676 更新會取代 KB2607712 更新，也會包含先前由 KB2607712 新增至 Microsoft 不信任憑證存放區的五個 DigiNotar 根憑證。

雖然 KB2616676 更新會取代 KB2607712 更新，但 KB2607712 更新並不是 KB2616676 更新的必要條件。無論是否已套用 KB2607712 更新，客戶均應套用 KB2616676 更新，以解決此摘要報告中所描述的問題。套用 KB2616676 更新的客戶無需套用 KB2607712 更新。

為何於 2011 年 9 月 6 日修訂此摘要報告？ 
Microsoft 修訂此摘要報告，是為了宣佈發行可解決此問題的一項更新。此更新將五個 DigiNotar 根憑證新增至 Microsoft 不信任憑證存放區。正常情況下，客戶不需主動安裝此更新，因為多數客戶均啟用自動更新，因此系統將自動下載及安裝此更新。對於沒有啟用自動更新的客戶，請參閱 Microsoft 知識庫文件編號 2607712，瞭解如何手動套用更新。

Microsoft 於 2011 年 8 月 29 日，藉由更新 Microsoft CTL，移除了一個對 DigiNotar 根憑證的信任。Microsoft 為什麼要發行此更新？ 
Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 皆使用 Microsoft 憑證信任清單來驗證憑證授權單位的公信力。Windows XP 和 Windows Server 2003 不使用 Microsoft 憑證信任清單來驗證憑證授權單位的公信力。因此，所有版本的 Windows XP 和 Windows Server 2003 都需要安裝更新，客戶的安全才能獲得保障。

Windows Vista、Windows 7、Windows Server 2008 及 Windows Server 2008 R2 的使用者於 2011 年 8 月 29 日更新 CTL 後，若存取由不信任的 DigiNotar 根憑證所簽署的網站，就會看到警告訊息，表示無法驗證憑證的公信力。使用者可以關閉此警告訊息，來存取網站。

為了保護客戶，幫助客戶更全面抵禦攔截式攻擊，Microsoft 將發行一項更新，採取額外措施來保護客戶，這項更新會徹底防止 Internet Explorer 使用者存取內含由不信任的 DigiNotar 根憑證所簽署之憑證的網站資源。套用此更新的 Internet Explorer 使用者，在嘗試存取上述其中一個 DigiNotar 根憑證所簽署的網站時，會看到錯誤訊息。這些使用者將無法繼續存取網站。

KB2616676更新的作用何在？ 
KB2616676 更新會在所有受支援的 Microsoft Windows 版本上，將十一個 DigiNotar 根憑證新增至 Microsoft 不信任憑證存放區。此外，KB2616676 更新也包含 2011 年 7 月 6 日發行的 KB2524375 更新中的憑證。

當使用者嘗試存取 TLS 加密的網站和不信任的 DigiNotar 根憑證簽署的網站時，使用者體驗將有何不同？  
嘗試存取由不信任的 DigiNotar 根憑證所簽署之網站的 Internet Explorer 使用者，會看到錯誤訊息。由於此憑證位於 Microsoft 不信任憑證存放區內，因此 Internet Explorer 不會允許使用者繼續前往此網站。在網站的憑證換成由信任的根憑證所簽署的新憑證之前，網站將無法使用。

套用更新之後，我該如何驗證 Microsoft 不信任憑證存放區內的憑證？ 
如需憑證檢視方法的相關資訊，請參閱 MSDN 文章 HOW TO： 使用 MMC 嵌入式管理單元來檢視憑證。

請在 [憑證 MMC 嵌入式管理單元] 中，確認下列憑證已新增至 [沒有信任的憑證] 資料夾：

由這些更新所新增至 [沒有信任的憑證] 資料夾中的憑證。

KB2616676 更新也包含 KB2524375 更新中新增至 [沒有信任的憑證] 資料夾中的憑證。

摘要報告的範圍為何？ 
此摘要報告旨在通知客戶，Microsoft 已經確認 DigiNotar 已發行至少一個偽憑證，並遭主動式攻擊利用。Microsoft 已針對所有受支援的 Microsoft Windows 版本發行一項可解決此問題的更新。

什麼是加密？ 
加密是保護資訊安全的一門科學，可將資訊在正常、可讀的狀態 (稱為純文字) 以及隱匿的資料狀態 (即加密文字) 之間進行轉換。

在各種形式的加密中，一個稱為「金鑰」的值會搭配一個稱為 Crypto 演算法的程序，將純文字資料轉化成加密文字。在一般熟知的加密類型「秘密金鑰加密」中，加密文字是使用同樣的金鑰轉換回純文字。而第二種加密類型「公開金鑰加密」則是使用不同的金鑰將加密文字轉換回純文字。

什麼是數位憑證？ 
公開金鑰加密共有兩組金鑰，其中一個稱為「私密金鑰」，必須加以保密。而另一個則稱為「公開金鑰」，必須透露給外界。但是，金鑰的擁有者必須透過某種方式來告知外界金鑰的主人是誰。「數位憑證」便是金鑰擁有者用來傳達這項資訊的一種方式。數位憑證是可防篡改的資料，它能將公開金鑰與其相關資訊封包在一起，如金鑰的擁有者、用途、到期日等等。

憑證有什麼用途？ 
憑證主要是用來確認人員或裝置的身分、驗證一項服務、或加密檔案。正常情況下，您完全不必操心憑證的問題。但是，您有時可能會看見一則訊息，告知您某個憑證已到期或無效。這時您應該聽從訊息中的指示。

什麼是憑證授權單位 (CA)？ 
憑證授權單位就是發行憑證的組織。憑證授權單位會建立並驗證屬於某個人或其他憑證授權單位的公開金鑰之真實性，並且驗證要求憑證的人員或組織之身分。

什麼是憑證信任清單 (CTL)？ 
簽署訊息的收件者與訊息簽署人之間必須存在著信任。建立信任的方法之一是透過憑證，以一份電子文件確認實體或個人所宣稱的身分。由雙方皆信任的第三方向實體發行憑證。如此一來，每位簽署訊息的收件者可決定簽署人憑證的發行者是否值得信任。CryptoAPI 已實作一種方法，允許應用程式開發人員建立可針對信任的憑證或根之預定清單自動驗證憑證的應用程式。這份信任的實體 (稱為對象) 清單被稱為憑證信任清單 (CTL)。如需更多資訊，請參閱 MSDN 文章，憑證信任驗證。

問題的肇因是什麼？ 
Microsoft 發現利用至少一個 DigiNotar 發行之偽數位憑證的主動式攻擊；DigiNotar 是信任根憑證授權存放區內的其中一個憑證授權單位。偽憑證可能被用來偽造內容、進行網路釣魚攻擊，或對包括 Internet Explorer 在內的所有網頁瀏覽器的使用者進行攔截式攻擊。雖然這不是 Microsoft 產品的弱點，但這個問題會影響所有受支援的 Microsoft Windows 版本。

攻擊者可能會利用這項弱點採取什麼行動？ 
攻擊者可以使用這些憑證來偽造內容、進行網路釣魚攻擊，或對包括 Internet Explorer 在內的所有網頁瀏覽器的使用者進行攔截式攻擊。

什麼是攔截式攻擊？ 
在兩位通訊使用者不知情的情況下，攻擊者利用自己的電腦轉交這兩位使用者間的通訊，就稱為攔截式攻擊。進行通訊的每個使用者都在不知情的狀況下傳送資料流給攻擊者並從攻擊者接收資料流，卻以為是與原本預期的使用者進行通訊。

撤銷憑證的程序為何？ 
使用者若使用這些憑證，憑證授權單位有一套標準程序可防止使用者接受這些憑證。每個憑證發行者都會定期產生一個 CRL，其中會列出所有應視為無效的憑證。每份憑證皆應提供一項稱為 CRL 發佈點 (CDP) 的資料，此資料會說明可取得 CRL 的位置。

網頁瀏覽器還有另一種方法可驗證數位憑證身分，亦即透過使用線上憑證狀態通訊協定 (OCSP)。OCSP 會連至由簽署數位憑證的憑證授權單位 (CA) 主控的 OCSP 回應程式，來進行互動式的憑證驗證。每項憑證都應透過其中的授權單位資訊存取 (AIA) 延伸，提供通往 OCSP 回應程式位置的指標。此外，OCSP 裝訂功能可讓 Web 伺服器本身向用戶端提供 OCSP 驗證回應。

在支援版本的 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 上，Internet Explorer 7 和較新版本的 Internet Explorer 的 OCSP 驗證預設為啟用。在這些作業系統中，如果 OCSP 驗證檢查失敗，瀏覽器會透過與 CRL 位置聯繫的方式來驗證憑證。

如需更多關於檢查憑證撤銷的資訊，請參閱 TechNet 文章憑證撤銷和狀態檢查。

什麼是憑證撤銷清單 (CRL)？ 
CRL 是 CA 所發行、經數位簽署的一份清單，其中列出由 CA 所發行、而隨後經 CA 撤銷的憑證。針對每一份撤銷的憑證，這份清單皆包含憑證的序號、撤銷憑證的日期，以及撤銷原因。應用程式可執行 CRL 檢查，來判斷憑證的撤銷狀態。

什麼是 CRL 發佈點 (CDP)？ 
CDP 為一憑證延伸，能說明在何處可擷取 CA 的憑證撤銷清單。CDP 可能含有零個、一個或多個 HTTP、檔案或 LDAP 的 URL。

什麼是線上憑證狀態通訊協定 (OCSP)？ 
OCSP 是一個通訊協定，可即時驗證憑證的狀態。一般而言，OCSP 回應程式會依據從 CA 擷取的 CRL 來回覆撤銷狀態。

Microsoft 對此問題提供怎樣的解決方法？ 
雖然此問題的起因並非來自 Microsoft 產品本身，我們還是更新了憑證信任清單，將 DigiNotar 根憑證移除。Microsoft 將持續調查此問題，並會發行後續更新以保護客戶。

我如何得知自己是否遇上了無效憑證的錯誤？ 
當 Internet Explorer 遭遇無效的憑證時，使用者會看見一個網頁，說明「此網站的安全性憑證有問題」。這則警告訊息出現時，我們建議使用者關閉網頁，避免瀏覽該網站。

使用者只有在系統判斷憑證為無效時，才會看見這則訊息，例如，當使用者已啟用憑證撤銷清單 (CRL) 或線上憑證狀態通訊協定 (OCSP) 驗證時。在支援版本的 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 上，Internet Explorer 7 和較新版本的 Internet Explorer 的 OCSP 驗證預設為啟用。

受支援的 Microsoft Windows 版本

大部分客戶都已啟用自動更新，因此不必採取任何行動，因為系統會自動下載和安裝 KB2616676 更新程式。沒有啟用自動更新的客戶則必須檢查更新，並手動安裝更新。如需有關自動更新中特定設定選項的資訊，請參閱 Microsoft 知識庫文件編號 294871。

針對系統管理員和企業安裝，或是想要手動安裝 KB2616676 更新的使用者，Microsoft 建議客戶使用更新管理軟體，立即套用更新，或使用 Microsoft Update 服務檢查更新。如需瞭解如何手動套用更新，請參閱 Microsoft 知識庫文件編號 2616676。

雖然 KB2616676 更新會取代 KB2607712 更新，但 KB2607712 更新並不是 KB2616676 更新的必要條件。無論是否已套用 KB2607712 更新，客戶均應套用 KB2616676 更新，以解決此摘要報告中所描述的問題。套用 KB2616676 更新的客戶無需套用 KB2607712 更新。