• Article

Avis de sécurité

Conseils de sécurité Microsoft 2854544

Mises à jour pour améliorer la gestion des certificats numériques et du chiffrement dans Windows

Publication : 11 juin 2013 | Mise à jour : 12 novembre 2013

Version : 1.3

Informations générales

Résumé

Microsoft annonce la disponibilité des mises à jour dans le cadre des efforts continus visant à améliorer la gestion des certificats numériques et du chiffrement dans Windows. Microsoft continuera d’annoncer des mises à jour supplémentaires via cet avis, tous destinés à renforcer l’infrastructure de chiffrement et de gestion des certificats Windows en réponse à un environnement de menace en constante évolution.

Notes de publication et de Mises à jour disponibles

La mise à jour publiée le 12 novembre 2013 :

  • Microsoft a publié une mise à jour (2868725) pour toutes les éditions prises en charge de Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 et Windows RT pour résoudre les faiblesses connues dans RC4. La mise à jour est proposée via la mise à jour automatique et via le service Microsoft Update pour tous les logiciels affectés. La mise à jour est également disponible dans le Centre de téléchargement, ainsi que dans le catalogue Microsoft Update pour tous les logiciels affectés, à l’exception de Windows RT. La mise à jour prend en charge la suppression de RC4 en tant que chiffrement disponible sur les systèmes affectés via les paramètres du Registre. Il permet également aux développeurs de supprimer RC4 dans des applications individuelles à l’aide de l’indicateur de SCH_USE_STRONG_CRYPTO dans la structure SCHANNEL_CRED. Ces options ne sont pas activées par défaut. Après avoir appliqué la mise à jour, Microsoft recommande aux clients de tester les nouveaux paramètres pour désactiver RC4 avant de les implémenter dans leurs environnements. Pour plus d’informations, consultez les 2868725 de conseils de sécurité Microsoft.
  • Microsoft a annoncé une modification de stratégie du programme de certificat racine Microsoft pour la dépréciation de l’algorithme de hachage SHA-1 dans les certificats numériques X.509. La nouvelle stratégie n’autorise plus les autorités de certification racine à émettre des certificats X.509 à l’aide de l’algorithme de hachage SHA-1 à des fins de signature ssl et de code après le 1er janvier 2016. Microsoft recommande aux clients de remplacer leurs certificats SHA-1 par des certificats SHA-2 au plus tôt. Pour plus d’informations, consultez les 2880823 de conseils de sécurité Microsoft.

Les mises à jour publiées le 13 août 2013 :

  • Microsoft a publié une mise à jour (2862966) pour toutes les éditions prises en charge de Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 et Windows RT. La mise à jour est proposée via la mise à jour automatique et via le service Microsoft Update pour tous les logiciels affectés. La mise à jour est également disponible dans le Centre de téléchargement, ainsi que dans le catalogue Microsoft Update pour tous les logiciels affectés, à l’exception de Windows RT. La mise à jour fournit une infrastructure permettant d’améliorer la gestion des certificats qui utilisent des algorithmes de chiffrement et de hachage spécifiques dans Microsoft Windows. Cette mise à jour ne limite pas l’utilisation des certificats par elle-même, mais peut être une condition préalable pour les mises à jour ultérieures qui limitent l’utilisation des certificats. Pour plus d’informations et pour les problèmes connus que les clients peuvent rencontrer lors de l’installation de cette mise à jour, consultez l’article de la Base de connaissances Microsoft 2862966.
  • Microsoft a publié une mise à jour (2862973) pour toutes les éditions prises en charge de Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 et Windows RT. À ce stade, la mise à jour est disponible uniquement à partir du Centre de téléchargement et du catalogue Microsoft Update pour tous les logiciels affectés, à l’exception de Windows RT. La mise à jour limite l’utilisation de certificats avec des hachages MD5. Pour plus d’informations, consultez la 2862973 de conseils de sécurité Microsoft. La mise à jour 2862966 est un prérequis pour cette mise à jour.

La mise à jour publiée le 11 juin 2013 :

  • Microsoft a publié une mise à jour (2813430) pour toutes les éditions prises en charge de Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 et Windows RT. La mise à jour est disponible dans le Centre de téléchargement, ainsi que dans le catalogue Microsoft Update pour tous les logiciels affectés, à l’exception de Windows RT. Il est également proposé via la mise à jour automatique et via le service Microsoft Update . La mise à jour pour Windows RT est disponible via Windows Update. La mise à jour permet aux administrateurs de mettre à jour les listes CTL approuvées et non autorisées sans avoir accès au site Windows Update. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 2813430.

Forums Aux Questions (FAQ)

Qu’est-ce qu’une liste d’approbation de certificats (CTL) ?
Une approbation doit exister entre le destinataire d’un message signé et le signataire du message. L’une des méthodes d’établissement de cette confiance consiste à utiliser un certificat, un document électronique vérifiant que les entités ou les personnes qui prétendent être. Un certificat est émis à une entité par un tiers approuvé par les deux parties. Ainsi, chaque destinataire d’un message signé décide si l’émetteur du certificat du signataire est fiable. CryptoAPI a implémenté une méthodologie permettant aux développeurs d’applications de créer des applications qui vérifient automatiquement les certificats par rapport à une liste prédéfinie de certificats ou de racines approuvés. Cette liste d’entités approuvées (appelées sujets) est appelée liste de confiance de certificat (CTL). Pour plus d’informations, consultez l’article MSDN, Vérification de l’approbation de certificat.

Qu’est-ce qu’un certificat numérique ?
Dans le chiffrement à clé publique, l’une des clés, appelée clé privée, doit être conservée secrète. L’autre clé, connue sous le nom de clé publique, est destinée à être partagée avec le monde. Toutefois, il doit y avoir un moyen pour le propriétaire de la clé de dire au monde à qui appartient la clé. Les certificats numériques fournissent un moyen de le faire. Un certificat numérique est un justificatif électronique utilisé pour certifier les identités en ligne des individus, des organisations et des ordinateurs. Les certificats numériques contiennent une clé publique empaquetée avec des informations sur celle-ci : qui le possède, ce qu’il peut être utilisé, quand il expire, et ainsi de suite.

Quel est l’objectif d’un certificat numérique ?
Les certificats numériques sont utilisés principalement pour vérifier l’identité d’une personne ou d’un appareil, authentifier un service ou chiffrer des fichiers. Normalement, vous n’aurez pas à réfléchir aux certificats du tout. Toutefois, vous pouvez voir un message indiquant qu’un certificat a expiré ou n’est pas valide. Dans ce cas, vous devez suivre les instructions du message.

Qu’est-ce qu’une autorité de certification (CA) ?
Les autorités de certification sont les organisations qui émettent des certificats. Ils établissent et vérifient l’authenticité des clés publiques qui appartiennent à des personnes ou à d’autres autorités de certification, et vérifient l’identité d’une personne ou d’une organisation qui demande un certificat.

Autres informations

Commentaires

  • Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.

Support

  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (11 juin 2013) : avis publié.
  • V1.1 (13 août 2013) : ajout des mises à jour de 2862966 et de 2862973 à la section Mises à jour disponibles et notes de publication.
  • V1.2 (27 août 2013) : avis révisé pour annoncer que la mise à jour 2862973 est disponible à partir du catalogue Microsoft Update.
  • V1.3 (12 novembre 2013) : ajout de l’annonce de la stratégie de mise à jour et de certificats racines 2868725 à la section Notes de publication et de Mises à jour disponibles.

Construit à 2014-04-18T13 :49 :36Z-07 :00