Avviso di sicurezza
Microsoft Security Advisory 2661254
Aggiornamento per la lunghezza minima della chiave del certificato
Pubblicato: 14 agosto 2012 | Aggiornamento: 09 ottobre 2012
Versione: 2.0
Informazioni generali
Schema riepilogativo
Microsoft annuncia la disponibilità di un aggiornamento a Windows che limita l'uso di certificati con chiavi RSA inferiori a 1024 bit. Le chiavi private usate in questi certificati possono essere derivate e possono consentire a un utente malintenzionato di duplicare i certificati e usarle in modo fraudolento per spoofare il contenuto, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle.
Nota Questo aggiornamento influisce su applicazioni e servizi che usano chiavi RSA per la crittografia e chiamano la funzione CertGetCertificateChain . Queste applicazioni e servizi non considerano più attendibili i certificati con chiavi RSA inferiori a 1024 bit di lunghezza. Esempi di applicazioni e servizi interessati includono, ad esempio, la posta elettronica crittografata, i canali di crittografia SSL/TLS, le applicazioni firmate e gli ambienti PKI privati. I certificati che usano algoritmi di crittografia diversi da RSA non sono interessati da questo aggiornamento. Per altre informazioni sulle applicazioni e i servizi interessati da questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2661254.
L'aggiornamento è disponibile nell'Areadownload e nel Catalogo di Microsoft Update per tutte le versioni supportate di Microsoft Windows. Inoltre, a partire dal 9 ottobre 2012, questo aggiornamento viene offerto tramite aggiornamento automatico e tramite il servizio Microsoft Update .
Elemento consigliato. Microsoft consiglia ai clienti di applicare l'aggiornamento alla prima opportunità. Per altre informazioni, vedere la sezione Azioni suggerite di questo avviso.
Problemi noti.L'articolo della Microsoft Knowledge Base 2661254 documenta i problemi attualmente noti che i clienti potrebbero riscontrare durante l'installazione di questo aggiornamento. L'articolo illustra anche le soluzioni consigliate per questi problemi.
Dettagli avviso
Riferimenti ai problemi
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
| Riferimenti | Identificazione |
|---|---|
| Articolo della Microsoft Knowledge Base | 2661254 |
Software e dispositivi interessati
Questo avviso illustra il software seguente.
| Sistema operativo |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 con SP2 per sistemi basati su Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 |
| Windows Server 2008 per sistemi basati su Itanium Service Pack 2 |
| Windows 7 per sistemi a 32 bit e Windows 7 per sistemi a 32 bit Service Pack 1 |
| Windows 7 per sistemi basati su x64 e Windows 7 per sistemi basati su x64 Service Pack 1 |
| Windows Server 2008 R2 per sistemi basati su x64 e Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 |
| Windows Server 2008 R2 per sistemi basati su Itanium e Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 |
| Opzione di installazione dei componenti di base del server |
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione server core) |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione server core) |
| Windows Server 2008 R2 per sistemi basati su x64 e Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione di Server Core) |
Domande frequenti
Perché questo avviso è stato rivisto il 9 ottobre 2012?
Microsoft ha modificato questo avviso per i motivi seguenti:
- Per rilasciare nuovamente l'aggiornamento KB2661254 per Windows XP per risolvere un problema che riguarda certificati digitali specifici generati da Microsoft senza attributi timestamp appropriati. Per altre informazioni su questo problema, vedere l' avviso di sicurezza Microsoft 2749655. I clienti che hanno già installato questo aggiornamento nei sistemi Windows XP non devono eseguire alcuna azione. Inoltre, i clienti non riceveranno di nuovo questo aggiornamento se è già installato nei sistemi. L'aggiornamento rilasciato si applica solo ai sistemi Windows XP che non hanno installato in precedenza questo aggiornamento.
- Per annunciare che l'aggiornamento KB2661254 per tutte le versioni supportate di Microsoft Windows è ora offerto tramite l'aggiornamento automatico.
Perché questo avviso è stato rivisto il 11 settembre 2012?
Microsoft ha rivisto questo avviso per chiarire che le applicazioni e i servizi che usano chiavi RSA per la crittografia e la chiamata alla funzione CertGetCertificateChain potrebbero essere interessati da questo aggiornamento. Esempi di queste applicazioni e servizi includono, ad esempio, la posta elettronica crittografata, i canali di crittografia SSL/TLS, le applicazioni firmate e gli ambienti PKI privati.
Per altre informazioni sul possibile impatto sui clienti e sui problemi noti che i clienti potrebbero riscontrare durante l'installazione di questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2661254.
Qual è l'ambito dell'avviso?
Lo scopo di questo avviso è informare i clienti che un aggiornamento è disponibile per tutte le versioni supportate di Microsoft Windows che richiederà ai certificati di contenere chiavi RSA maggiori o uguali a 1024 bit di lunghezza. I certificati con chiavi RSA inferiori a 1024 bit possono essere derivati in breve tempo e possono consentire a un utente malintenzionato di duplicare i certificati e usarli in modo fraudolento per spoofing del contenuto, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle. Questo aggiornamento è completamente testato ed è di qualità sufficiente per il rilascio. L'aggiornamento è stato rilasciato nell'area download per consentire ai clienti di valutare il proprio ambiente e fornire la possibilità di rilasciare nuovamente i certificati necessari prima della distribuzione più ampia tramite Microsoft Update.
In che modo un utente malintenzionato può usare i certificati in modo fraudolento?
Un utente malintenzionato potrebbe duplicare il certificato e usarlo per spoofing fraudolento di contenuto, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle.
In che modo un utente malintenzionato potrebbe duplicare un certificato?
Un certificato digitale può essere creato solo dalla persona che possiede la chiave privata del certificato. Un utente malintenzionato può tentare di indovinare la chiave privata e usare tecniche matematiche per determinare se un'ipotesi è corretta. La difficoltà di indovinare correttamente la chiave privata è proporzionale al numero di bit usati nella chiave. Pertanto, maggiore è la chiave più lunga è il tempo necessario per un utente malintenzionato per indovinare la chiave privata. Usando l'hardware moderno, le chiavi di lunghezza inferiore a 1024 bit possono essere ipotizzate correttamente in un breve periodo di tempo. Una volta che l'utente malintenzionato indovina correttamente la chiave privata, l'utente malintenzionato può duplicare il certificato e usarlo in modo fraudolento per spoofing del contenuto, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle.
Che cos'è un attacco man-in-the-middle?
Un attacco man-in-the-middle si verifica quando un utente malintenzionato reindirizza la comunicazione tra due utenti attraverso il computer dell'utente malintenzionato senza conoscere i due utenti che comunicano. Ogni utente nella comunicazione invia inconsapevolmente il traffico a e riceve il traffico dall'utente malintenzionato, tutto il mentre pensa di comunicare solo con l'utente previsto.
Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, nota come chiave privata, deve essere mantenuta segreta. L'altra chiave, nota come chiave pubblica, è destinata a essere condivisa con il mondo. Tuttavia, deve esserci un modo per consentire al proprietario della chiave di indicare al mondo a chi appartiene la chiave. I certificati digitali consentono di eseguire questa operazione. Un certificato digitale è una credenziale elettronica usata per certificare le identità online di singoli utenti, organizzazioni e computer. I certificati digitali contengono una chiave pubblica in pacchetto con informazioni su di esso, ovvero chi ne è proprietario, cosa può essere usato per, alla scadenza e così via.
Ricerca per categorie prepararsi per questa versione?
Per un elenco di azioni da eseguire in preparazione alla distribuzione di questo aggiornamento, vedere la sezione Azioni suggerite.
Quando Microsoft rilascia questo aggiornamento a Microsoft Update?
Microsoft prevede di rilasciare questo aggiornamento tramite Microsoft Update a ottobre 2012.
Che cosa fa l'aggiornamento KB2661254?
In tutte le versioni supportate di Microsoft Windows, l'aggiornamento KB2661254 richiede che i certificati con chiavi RSA usino la lunghezza della chiave a 1024 bit o superiore. I certificati che usano algoritmi di crittografia diversi da RSA non sono interessati da questo aggiornamento. I prodotti Microsoft o i prodotti di terze parti che chiamano nella funzione CertGetCertificateChain non considerano più attendibili i certificati con chiavi RSA inferiori a 1024 lunghezze di chiave. Questa funzione compila un contesto della catena di certificati a partire dal certificato finale, se possibile, a un certificato radice attendibile. Quando la catena viene convalidata, ogni certificato nella catena viene controllato per assicurarsi che abbia una lunghezza della chiave RSA di almeno 1024 bit. Se un certificato nella catena ha una chiave RSA inferiore a 1024 bit, il certificato finale non sarà attendibile.
Inoltre, l'aggiornamento può essere configurato per registrare quando i certificati vengono bloccati dall'aggiornamento. Per altre informazioni sull'abilitazione di questa funzionalità di registrazione, vedere la sezione Azioni suggerite di questo avviso. Per un elenco completo degli scenari su come questo aggiornamento bloccherà l'utilizzo delle chiavi RSA di lunghezza inferiore a 1024 bit, vedere l'articolo della Microsoft Knowledge Base 2661254.
Questo aggiornamento si applica a Windows 8 Release Preview o a Windows Server 2012 Release Candidate?
No. Questo aggiornamento non si applica a Windows 8 Release Preview o Windows Server 2012 Release Candidate perché questi sistemi operativi includono già la funzionalità per richiedere che i certificati con chiavi RSA usino la lunghezza della chiave a 1024 bit o superiore.
Cosa accade se si trova un certificato con una chiave RSA inferiore a 1024 bit di lunghezza?
I clienti che identificano i certificati che usano lunghezze di chiave RSA inferiori a 1024 bit negli ambienti dovranno richiedere certificati più lunghi dall'autorità di certificazione. I clienti che gestiscono i propri ambienti PKI dovranno creare nuove coppie di chiavi più lunghe e rilasciare nuovi certificati da queste nuove chiavi. I clienti devono valutare l'uso di una lunghezza di chiave sufficiente per soddisfare i requisiti per la crittografia dei dati, che può superare il minimo richiesto da questo aggiornamento.
Che cos'è un'autorità di certificazione (CA)?
Un'autorità di certificazione (CA) è responsabile dell'attestazione dell'identità di utenti, computer e organizzazioni. La CA autentica un'entità e convalida l'identità mediante il rilascio in un certificato firmato digitalmente. La CA può inoltre gestire, revocare e rinnovare i certificati.
Un'autorità di certificazione può fare riferimento ai seguenti elementi:
- un'organizzazione che convalida l'identità di un utente finale
- un server usato dall'organizzazione per il rilascio e la gestione di certificati
Azioni suggerite
Per le versioni supportate di Microsoft Windows
La maggior parte dei clienti ha abilitato l'aggiornamento automatico e non dovrà eseguire alcuna azione perché questo aggiornamento della sicurezza verrà scaricato e installato automaticamente. I clienti che non hanno abilitato l'aggiornamento automatico devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico, vedere l'articolo della Microsoft Knowledge Base 294871.
Per gli amministratori e le installazioni aziendali o per gli utenti finali che vogliono installare manualmente l'aggiornamento KB2661254, Microsoft consiglia ai clienti di scaricare l'aggiornamento e valutare l'impatto della richiesta di tali certificati con chiavi RSA che usano la lunghezza della chiave a 1024 bit o superiore. Vedere l'articolo della Microsoft Knowledge Base 2661254 per i collegamenti di download ai pacchetti di aggiornamento o cercare i pacchetti di aggiornamento nel Catalogo di Microsoft Update.
Amministrazione istrator e le installazioni aziendali devono valutare l'ambiente per l'esistenza di certificati con chiavi RSA inferiori a 1024 bit e rilasciare nuovamente questi certificati. Per altre informazioni sulle applicazioni e i servizi interessati da questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2661254.
Azioni aggiuntive suggerite
Identificare i certificati con una lunghezza della chiave RSA inferiore a 1024 bit in uso nell'organizzazione
Vedere l'articolo della Microsoft Knowledge Base 2661254 per istruzioni dettagliate su come trovare i certificati RSA attualmente in uso nell'organizzazione.
Esaminare l'articolo della Microsoft Knowledge Base 2661254 per gli scenari in cui questo aggiornamento blocca i certificati
Esaminare l'articolo della Microsoft Knowledge Base 2661254 per un elenco di scenari in cui questo aggiornamento blocca i certificati con chiavi RSA inferiori a 1024 bit.
Abilitare la registrazione dei certificati per identificare l'utilizzo delle chiavi RSA di lunghezza inferiore a 1024 bit
Per impostazione predefinita, la registrazione non è abilitata. La registrazione può essere abilitata per identificare l'utilizzo delle chiavi RSA di lunghezza inferiore a 1024 bit impostando la directory di registrazione nel Registro di sistema.
Avviso Se si usa l'editor del Registro di sistema in modo errato, è possibile che si verifichino gravi problemi che potrebbero richiedere di reinstallare il sistema operativo. Microsoft non può garantire che sia possibile risolvere i problemi derivanti dall'uso non corretto dell'editor del Registro di sistema. Utilizzare l'editor del Registro di sistema a proprio rischio.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config] " WeakSignatureLogDir"È possibile applicare questo file .reg ai singoli sistemi facendo doppio clic su di esso. È anche possibile applicarlo tra domini usando Criteri di gruppo. Per altre informazioni su Criteri di gruppo, vedere Strumenti di Criteri di gruppo di base e Impostazioni.
Impatto della soluzione alternativa: l'abilitazione della registrazione in un sistema di produzione può causare problemi di prestazioni e deve essere usata con cautela. È necessario prestare particolare attenzione alla directory su cui è abilitata la registrazione per evitare di riempire il volume. Questa directory deve anche essere configurata per consentire a tutti i sistemi appropriati di scrivere in questo percorso. I clienti non devono mai consentire agli utenti anonimi di scrivere in condivisioni all'interno dell'organizzazione.
Proteggere il PC
Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni, vedere Microsoft Cassaforte ty & Security Center.
Mantenere aggiornato il software Microsoft
Gli utenti che eseguono software Microsoft devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano il più protetti possibile. Se non si è certi che il software sia aggiornato, visitare Microsoft Update, analizzare il computer per verificare la disponibilità degli aggiornamenti e installare eventuali aggiornamenti ad alta priorità offerti. Se l'aggiornamento automatico è abilitato e configurato per fornire aggiornamenti per i prodotti Microsoft, gli aggiornamenti vengono recapitati all'utente quando vengono rilasciati, ma è necessario verificare che siano installati.
Altre informazioni
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (14 agosto 2012): Avviso pubblicato.
- V1.1 (14 agosto 2012): Riepilogo esecutivo corretto per chiarire che dopo l'applicazione di questo aggiornamento, i clienti devono usare i certificati con chiavi RSA maggiori o uguali a 1024 bit di lunghezza.
- V1.2 (11 settembre 2012): ha spiegato che le applicazioni e i servizi che usano chiavi RSA per la crittografia e la chiamata alla funzione CertGetCertificateChain potrebbero essere interessati da questo aggiornamento. Esempi di queste applicazioni e servizi includono, ad esempio, la posta elettronica crittografata, i canali di crittografia SSL/TLS, le applicazioni firmate e gli ambienti PKI privati.
- V2.0 (9 ottobre 2012): avviso modificato per rilasciare nuovamente l'aggiornamento KB2661254 per Windows XP e per annunciare che l'aggiornamento KB2661254 per tutte le versioni supportate di Microsoft Windows è ora offerto tramite l'aggiornamento automatico. I clienti che in precedenza applicavano l'aggiornamento KB2661254 non devono eseguire alcuna azione. Per informazioni dettagliate, vedere domande frequenti sull'avviso.
Costruito al 2014-04-18T13:49:36Z-07:00