Güvenlik Danışmanlığı
Microsoft Güvenlik Danışmanlığı 2641690
Sahte Dijital Sertifikalar Kimlik Sahtekarlığına İzin Verebilir
Yayımlanma Tarihi: 10 Kasım 2011 | Güncelleştirme: 19 Ocak 2012
Sürüm: 3.0
Genel Bilgiler
Yönetici Özeti
Microsoft, DigiCert Sdn'nin farkındadır. Entrust ve GTE CyberTrust altında malezyalı bir alt sertifika yetkilisi (CA) olan Bhd, zayıf 512 bit anahtarlara sahip 22 sertifika verdi. Bu zayıf şifreleme anahtarları bozulduğunda, bir saldırganın içeriği sahtekarlık yapmak, kimlik avı saldırıları gerçekleştirmek veya Internet Explorer kullanıcıları da dahil olmak üzere tüm Web tarayıcısı kullanıcılarına karşı ortadaki adam saldırıları gerçekleştirmek için sertifikaları sahte olarak kullanmasına izin verebilir. Bu bir Microsoft ürünündeki bir güvenlik açığı olmasa da, bu sorun Microsoft Windows'un desteklenen tüm sürümlerini etkiler.
DigiCert Sdn. Bhd, Microsoft Kök Sertifika Programı üyesi olan DigiCert, Inc. şirketine bağlı değildir.
Herhangi bir sertifikanın sahte olarak verildiğine dair bir gösterge yoktur. Bunun yerine, şifreleme açısından zayıf anahtarlar bazı sertifikaların çoğaltılıp sahte bir şekilde kullanılmasına izin verdi.
Microsoft, Microsoft Windows'un desteklenen tüm sürümleri için DigiCert Sdn'deki güveni iptal eden bir güncelleştirme sağlamaktadır. Bhd. Güncelleştirme, aşağıdaki iki ara CA sertifikasının güvenini iptal eder:
- Digisign Sunucu Kimliği - (Zenginleştirme), Entrust.net Sertifika Yetkilisi (2048) tarafından verilen
- GTE CyberTrust Global Root tarafından verilen Digisign Sunucu Kimliği (Zenginleştirme)
Öneri. Microsoft, müşterilerin güncelleştirme yönetimi yazılımını kullanarak veya Microsoft Update hizmetini kullanarak güncelleştirmeleri denetleyerek güncelleştirmeyi hemen uygulamasını önerir. Daha fazla bilgi için lütfen bu önerinin Önerilen Eylemler bölümüne bakın.
Bilinen Sorunlar.Microsoft Bilgi Bankası makalesi 2641690 , müşterilerin bu güncelleştirmeyi yüklerken karşılaşabileceği bilinen sorunları belgelemektedir. Makalede ayrıca bu sorunlar için önerilen çözümler belgelenmiştir.
Danışmanlık Ayrıntıları
Sorun Başvuruları
Bu sorun hakkında daha fazla bilgi için aşağıdaki başvurulara bakın:
| Başvurular | Kimlik |
|---|---|
| Microsoft Bilgi Bankası Makalesi | 2641690 |
Etkilenen Yazılım ve Cihazlar
Bu danışmanlıkta aşağıdaki yazılım ve cihazlar ele alınmaktadır.
| Etkilenen Yazılım |
|---|
| Windows XP Hizmet Paketi 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Itanium Tabanlı Sistemler için Windows Server 2003 SP2 |
| Windows Vista Hizmet Paketi 2 |
| Windows Vista x64 Edition Service Pack 2 |
| 32 bit Sistemler için Windows Server 2008 Service Pack 2* |
| x64 tabanlı Sistemler için Windows Server 2008 Service Pack 2* |
| Itanium Tabanlı Sistemler için Windows Server 2008 Service Pack 2 |
| 32 bit Sistemler için Windows 7 ve 32 bit Sistemler için Windows 7 Service Pack 1 |
| x64 Tabanlı Sistemler için Windows 7 ve x64 Tabanlı Sistemler için Windows 7 Service Pack 1 |
| x64 Tabanlı Sistemler için Windows Server 2008 R2 ve x64 Tabanlı Sistemler için Windows Server 2008 R2 Service Pack 1* |
| Itanium Tabanlı Sistemler için Windows Server 2008 R2 ve Itanium Tabanlı Sistemler için Windows Server 2008 R2 Service Pack 1 |
*Sunucu Çekirdeği yüklemesi etkilendi. Bu öneri, Sunucu Çekirdeği yükleme seçeneği kullanılarak yüklenip yüklenmediğine bakılmaksızın, belirtildiği gibi desteklenen Windows Server 2008 veya Windows Server 2008 R2 sürümleri için geçerlidir. Bu yükleme seçeneği hakkında daha fazla bilgi için, Sunucu Çekirdeği Yüklemesini Yönetme ve Sunucu Çekirdeği Yüklemesine Hizmet Verme adlı TechNet makalelerine bakın. Sunucu Çekirdeği yükleme seçeneğinin Windows Server 2008 ve Windows Server 2008 R2'nin belirli sürümleri için geçerli olmadığını unutmayın; Bkz . Sunucu Çekirdeği Yükleme Seçeneklerini Karşılaştırma.
| Etkilenen Cihazlar |
|---|
| Windows Mobile 6.x |
| Windows Telefon 7 |
| Windows Telefon 7.5 |
Sık Sorulan Sorular
Bu danışmanlık neden 19 Ocak 2012'de yeniden düzenlendi? Microsoft, Windows Mobile 6.x, Windows Telefon 7 ve Windows Telefon 7.5 cihazları için bir güncelleştirmenin yayınlanmasını duyurmak için bu öneriyi düzeltti. Daha fazla bilgi için 2641690 Microsoft Bilgi Bankası makalesine bakın.
Bu danışmanlık neden 16 Kasım 2011'de yeniden düzenlendi? Microsoft, Windows XP Professional x64 Edition Service Pack 2 ve Windows Server 2003'ün tüm desteklenen sürümleri için KB2641690 güncelleştirmesinin yeniden yayımını duyurmak için bu öneriyi düzeltti. Yeniden yayımlanan güncelleştirme, Windows Server Update Services (WSUS) kullanan müşteriler tarafından belirtilen ve güncelleştirmenin uygulanabilirliğinin düzgün algılanmadığı bir sorunu giderir.
Windows XP Professional x64 Edition Service Pack 2 müşterileri ve Windows Server 2003'ün tüm desteklenen sürümleri, bu öneride açıklandığı gibi sahte sertifikaların kullanımına karşı korunmak üzere KB2641690 güncelleştirmesinin yeniden yayımlanan sürümünü uygulamalıdır. Windows XP Service Pack 3 müşterileri ve Windows Vista, Windows Server 2008, Windows 7 ve Windows Server 2008 R2'nin desteklenen sürümleri bu yeniden sürümden etkilenmez.
Müşterilerin çoğunun otomatik güncelleştirmesi etkindir ve yeniden yayımlanan KB2641690 güncelleştirmesi otomatik olarak indirilip yükleneceği için herhangi bir işlem gerçekleştirmesi gerekmez.
Danışmanlığın kapsamı nedir? Bu önerinin amacı müşterilere DigiCert Sdn'yi bildirmektir. Bhd zayıf 512 bit anahtarlara sahip 22 sertifika verdi. Bu zayıf anahtarlar bazı sertifikaların güvenliğinin aşılmasına izin verdi. Microsoft, iki ara CA sertifikasını Microsoft Güvenilmeyen Sertifika Deposu'na taşıyan bir güncelleştirmede bu alt CA'nın güvenini iptal etti.
Soruna neden olan nedir? Microsoft, Microsoft Kök Sertifika Programı'ndaki bir CA olan Entrust tarafından alt CA'larından biri olan DigiCert Sdn'ye bildirildi. Bhd, zayıf 512 bit anahtarlara sahip 22 sertifika verdi. Ayrıca, bu alt CA uygun kullanım uzantıları veya iptal bilgileri olmadan sertifikalar verdi. Bu, Microsoft Kök Sertifika Programı gereksinimlerinin ihlalidir.
Herhangi bir sertifikanın sahte olarak verildiğine dair bir gösterge yoktur. Bunun yerine, şifreleme açısından zayıf anahtarlar bazı sertifikaların çoğaltılıp sahte bir şekilde kullanılmasına izin verdi. Entrust ve GTE CyberTrust, DigiCert Sdn'ye verilen ara CA sertifikalarını iptal etti. Bhd. Microsoft, müşterileri daha fazla korumak için bu iki ara sertifikanın güvenini iptal eden bir güncelleştirme sağlıyor.
Bir saldırgan sertifikayı nasıl çoğaltabilir? Dijital imza yalnızca sertifikanın özel anahtarına sahip olan kişi tarafından oluşturulabilir. Saldırgan, bir tahminin doğru olup olmadığını belirlemek için özel anahtarı tahmin etmeye ve matematiksel teknikleri kullanmaya başlayabilir. Özel anahtarı başarıyla tahmin etme zorluğu, anahtarda kullanılan bit sayısıyla orantılıdır. Bu nedenle, anahtar ne kadar büyükse, saldırganın özel anahtarı tahmin etme süresi de o kadar uzun olur. Modern donanım kullanılarak 512 bit anahtarlar kısa sürede başarıyla tahmin edilebilir.
Bir saldırgan sahte sertifikaları nasılkullanabilir? Saldırgan, 512 bit sertifikalarını kullanarak içerik sahtekarlığı yapabilir, kimlik avı saldırıları gerçekleştirebilir veya Internet Explorer kullanıcıları da dahil olmak üzere tüm Web tarayıcısı kullanıcılarına karşı ortadaki adam saldırıları gerçekleştirebilir.
Microsoft bu sorunu çözmeye yardımcı olmak için ne yapıyor? Bu sorun herhangi bir Microsoft ürünündeki bir sorundan kaynaklanmasa da, Yine de Entrust ve GTE CyberTrust tarafından verilen iki ara sertifikayı Microsoft Güvenilmeyen Sertifika Deposu'na taşıyan bir güncelleştirme yayımladık. Microsoft, müşterilerin güncelleştirmeyi hemen uygulamasını önerir.
Ortadaki adam saldırısı nedir? Ortadaki adam saldırısı, bir saldırgan iki kullanıcı arasındaki iletişimi, iki iletişim yapan kullanıcının bilgisi olmadan saldırganın bilgisayarı üzerinden yeniden yönlendirdiğinde gerçekleşir. İletişimdeki her kullanıcı, yalnızca hedeflenen kullanıcıyla iletişim kuracaklarını düşünürken, farkında olmadan saldırgana trafik gönderir ve saldırgandan trafik alır.
Sertifika yetkilisi (CA) nedir? Sertifika yetkilileri sertifika veren kuruluşlardır. Kişilere veya diğer sertifika yetkililerine ait ortak anahtarların orijinalliğini oluşturur ve doğrular ve sertifika isteyen bir kişi veya kuruluşun kimliğini doğrular.
Sertifikayı iptal etme yordamı nedir? Sertifika yetkilisinin, kullanıldıklarında sertifikaların kabul edilmesini engellemesine izin veren standart bir yordam vardır. Her sertifikayı veren, geçersiz olarak kabul edilmesi gereken tüm sertifikaları listeleyen bir Sertifika İptal Listesi (CRL) oluşturur. Her sertifika CRL Dağıtım Noktası (CDP) olarak adlandırılan ve CRL'nin alınabileceği konumu gösteren bir veri parçası sağlamalıdır.
Web tarayıcılarının dijital sertifikanın kimliğini doğrulamanın alternatif bir yolu, Çevrimiçi Sertifika Durum Protokolü(OCSP) kullanmaktır. OCSP, dijital sertifikayı imzalayan Sertifika Yetkilisi (CA) tarafından barındırılan bir OCSP yanıtlayıcısına bağlanarak sertifikanın etkileşimli doğrulanmasına olanak tanır. Her sertifika, sertifikadaki Yetkili Bilgileri Erişimi (AIA) uzantısı aracılığıyla OCSP yanıtlayıcı konumuna bir işaretçi sağlamalıdır. Ayrıca, OCSP zımbalama, Web sunucusunun kendisinin istemciye bir OCSP doğrulama yanıtı sağlamasına olanak tanır.
OCSP doğrulaması Windows Vista, Windows Server 2008, Windows 7 ve Windows Server 2008 R2'nin desteklenen sürümlerinde Internet Explorer 7 ve sonraki sürümlerinde varsayılan olarak etkindir. Bu işletim sistemlerinde, OCSP doğrulama denetimi başarısız olursa, tarayıcı CRL Konumu'na başvurarak sertifikayı doğrular.
Bazı ağ dağıtımları çevrimiçi OCSP veya CRL güncelleştirmelerini engelleyebilir, bu nedenle Microsoft, Microsoft Windows'un tüm sürümleri için bu sertifikaları Microsoft Güvenilmeyen Sertifika Deposu'na ekleyen bir güncelleştirme yayımladı. Bu sertifikaları Microsoft Güvenilmeyen Sertifika Deposu'na taşımak, bu sahte sertifikalara tüm ağ dağıtım senaryolarında güvenilmemesini sağlar.
Sertifika iptal denetimi hakkında daha fazla bilgi için Sertifika İptali ve Durum Denetimi başlıklı TechNet makalesine bakın.
Geçersiz bir sertifika hatasıyla karşılaşmış olup olduğumu Nasıl yaparım? biliyor musunuz? Internet Explorer geçersiz bir sertifikayla karşılaştığında, kullanıcılara "Bu web sitesinin güvenlik sertifikasıyla ilgili bir sorun var" yazan bir Web sayfası sunulur. Bu uyarı iletisi görüntülendiğinde kullanıcıların Web sayfasını kapatmaları ve siteden uzaklaşmaları tavsiye edilir.
Kullanıcılara bu ileti yalnızca sertifikanın geçersiz olduğu belirlendiğinde , örneğin kullanıcının Sertifika İptal Listesi (CRL) veya Çevrimiçi Sertifika Durum Protokolü (OCSP) doğrulaması etkin olduğunda sunulur. OCSP doğrulaması Windows Vista, Windows Server 2008, Windows 7 ve Windows Server 2008 R2'nin desteklenen sürümlerinde Internet Explorer 7 ve sonraki sürümlerinde varsayılan olarak etkindir.
Güncelleştirmeyi uyguladıktan sonra, Microsoft Güvenilmeyen Sertifikalar Deposu'ndaki sertifikaları nasıl doğrulayabilirim? Sertifikaları görüntüleme hakkında bilgi için MSDN makalesine bakın: Nasıl yapılır: MMC Ek Bileşeni ile Sertifikaları Görüntüleme.
Sertifikalar MMC ek bileşeninde, Güvenilmeyen Sertifikalar klasörüne aşağıdaki sertifikaların eklendiğini doğrulayın:
| Sertifika | Veren | Parmak İzi |
|---|---|---|
| Digisign Sunucu Kimliği - (Zenginleştir) | Entrust.net Sertifika Yetkilisi (2048) | 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab |
| Digisign Sunucu Kimliği (Zenginleştirme) | GTE CyberTrust Global Root | 51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74 |
Önerilen Eylemler
Microsoft Windows'un desteklenen sürümleri için
Müşterilerin çoğunun otomatik güncelleştirmesi etkindir ve KB2641690 güncelleştirme otomatik olarak indirilip yükleneceği için herhangi bir işlem gerçekleştirmesi gerekmez. Otomatik güncelleştirmeyi etkinleştirmeyen müşterilerin güncelleştirmeleri denetlemesi ve bu güncelleştirmeyi el ile yüklemesi gerekir. Otomatik güncelleştirmedeki belirli yapılandırma seçenekleri hakkında bilgi için 294871 Microsoft Bilgi Bankası makalesine bakın.
Yöneticiler ve kurumsal yüklemeler veya KB2641690 güncelleştirmesini el ile yüklemek isteyen son kullanıcılar için Microsoft, müşterilerin güncelleştirme yönetimi yazılımını kullanarak veya Microsoft Update hizmetini kullanarak güncelleştirmeleri denetleyerek güncelleştirmeyi hemen uygulamasını önerir. Güncelleştirmeyi el ile uygulama hakkında daha fazla bilgi için 2641690 Microsoft Bilgi Bankası makalesine bakın.
Windows Mobile 6.x, Windows Telefon 7 ve Windows Telefon 7.5 cihazları için
Windows Mobile 6.x, Windows Telefon 7 ve Windows Telefon 7.5 cihazlarına yönelik güncelleştirme hakkında bilgi için 2641690 Microsoft Bilgi Bankası makalesine bakın.
Önerilen Diğer Eylemler
Bilgisayarınızı koruma
Müşterilerimizin güvenlik duvarını etkinleştirme, yazılım güncelleştirmelerini alma ve virüsten koruma yazılımı yükleme yönergelerimizi izlemelerini teşvik etmeye devam ediyoruz. Müşteriler Bilgisayarınızı Koruyun'u ziyaret ederek bu adımlar hakkında daha fazla bilgi edinebilir.
İnternet'te güvende kalma hakkında daha fazla bilgi için Microsoft Security Central'ı ziyaret edin.
Microsoft Yazılımını Güncel Tut
Microsoft yazılımını çalıştıran kullanıcılar, bilgisayarlarının mümkün olduğunca korunduğundan emin olmak için en son Microsoft güvenlik güncelleştirmelerini uygulamalıdır. Yazılımınızın güncel olup olmadığından emin değilseniz Microsoft Update'i ziyaret edin, kullanılabilir güncelleştirmeler için bilgisayarınızı tarayın ve size sunulan yüksek öncelikli güncelleştirmeleri yükleyin. Microsoft ürünlerine yönelik güncelleştirmeleri sağlamak üzere otomatik güncelleştirmeyi etkinleştirdiyseniz ve yapılandırdıysanız, güncelleştirmeler yayımlandıklarında size teslim edilir, ancak bunların yüklendiğini doğrulamanız gerekir.
Diğer Bilgiler
Microsoft Active Protections Programı (MAPP)
Microsoft, müşterilerin güvenlik korumalarını geliştirmek için her aylık güvenlik güncelleştirmesi sürümünden önce önemli güvenlik yazılımı sağlayıcılarına güvenlik açığı bilgileri sağlar. Güvenlik yazılımı sağlayıcıları daha sonra bu güvenlik açığı bilgilerini kullanarak müşterilere güvenlik yazılımları veya virüsten koruma, ağ tabanlı yetkisiz erişim algılama sistemleri veya konak tabanlı yetkisiz erişim önleme sistemleri gibi cihazları aracılığıyla güncelleştirilmiş korumalar sağlayabilir. Güvenlik yazılımı sağlayıcılarından etkin koruma sağlanıp sağlanmadığını belirlemek için lütfen Microsoft Active Protections Program (MAPP) İş Ortakları'nda listelenen program iş ortakları tarafından sağlanan etkin korumalar Web sitelerini ziyaret edin.
Geri Bildirim
- Microsoft Yardım ve Destek formunu tamamlayarak geri bildirim sağlayabilirsiniz. Müşteri Hizmetleri Bize Ulaşın.
Destek
- Birleşik Devletler ve Kanada'daki müşteriler Güvenlik Desteği'nden teknik destek alabilir. Kullanılabilir destek seçenekleri hakkında daha fazla bilgi için bkz . Microsoft Yardım ve Destek.
- Uluslararası müşteriler, yerel Microsoft yan kuruluşlarından destek alabilir. Uluslararası destek sorunları için Microsoft'a başvurma hakkında daha fazla bilgi için Uluslararası Destek'i ziyaret edin.
- Microsoft TechNet Security , Microsoft ürünlerindeki güvenlik hakkında ek bilgiler sağlar.
Bildirim
Bu danışmanlıkta sağlanan bilgiler herhangi bir garanti olmadan "olduğu gibi" sağlanır. Microsoft, satılabilirlik ve belirli bir amaca uygunluk garantileri dahil olmak üzere açık veya zımni tüm garantileri reddeder. Microsoft Corporation veya tedarikçilerine bu tür zararlar olabileceği bildirilmiş olsa bile, doğrudan, dolaylı, arızi, neticede iş kârı kaybı veya özel zararlar dahil olmak üzere hiçbir durumda Microsoft Corporation veya tedarikçileri herhangi bir zarardan sorumlu tutulamaz. Bazı eyaletler, ortaya çıkabilecek veya arızi zararlar için sorumluluğun hariç tutulmasına veya sınırlandırılmasına izin vermez, bu nedenle söz konusu sınırlama geçerli olmayabilir.
Düzeltmeler
- V1.0 (10 Kasım 2011): Danışmanlık yayımlandı.
- V2.0 (16 Kasım 2011): KB2641690 güncelleştirmesinin yeniden yayınını duyurmak için düzeltildi. Daha fazla bilgi için bu önerideki Güncelleştirme SSS bölümüne bakın. Ayrıca, Yönetici Özeti'ndeki Bilinen Sorunlar altında 2641690 Microsoft Bilgi Bankası makalesine bağlantı eklendi.
- V3.0 (19 Ocak 2012): Windows Mobile 6.x, Windows Telefon 7 ve Windows Telefon 7.5 cihazları için bir güncelleştirmenin yayımlandığı duyurulacak şekilde düzeltildi.
2014-04-18T13:49:36Z-07:00'da oluşturuldu