Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 2854544

Updates zum Verbessern der Verschlüsselung und der Handhabung digitaler Zertifikate in Windows

Veröffentlicht: Dienstag, 11. Juni 2013 | Aktualisiert: Dienstag, 12. November 2013

Version: 1.3

Allgemeine Informationen

Kurzzusammenfassung

Microsoft kündigt die Verfügbarkeit von Updates an, die Bestandteil der kontinuierlichen Bemühungen zur Verbesserung der Kryptografie und der Handhabung digitaler Zertifikate in Windows sind. Microsoft wird im Rahmen dieser Empfehlung weitere Updates ankündigen, die alle darauf ausgerichtet sind, in Reaktion auf eine sich entwickelnde Bedrohungslage die Infrastruktur der Verschlüsselung in Windows und der Zertifikathandhabung zu unterstützen.

Verfügbare Updates und Veröffentlichungshinweise

Das Update wurde am 12. November 2013 veröffentlicht:

  • Microsoft hat ein Update (2868725) für alle unterstützten Editionen von Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT veröffentlicht, um bekannte Schwachstellen in RC4 zu beheben. Das Update wird für die gesamte betroffene Software über die automatische Aktualisierung und über Microsoft Update angeboten. Das Update für die betroffene Software (ausgenommen Windows RT) ist auch im Download Center sowie im Microsoft Update-Katalog verfügbar. Das Update unterstützt das Entfernen von RC4 als verfügbare Ziffer auf betroffenen Systemen durch Registrierungseinstellungen. Es ermöglicht Entwicklern außerdem, RC4 durch die Verwendung des Kennzeichens SCH_USE_STRONG_CRYPTO in der Struktur SCHANNEL_CRED aus einzelnen Anwendungen zu entfernen. Diese Optionen sind nicht standardmäßig aktiviert. Nach der Installation des Updates empfiehlt Microsoft Benutzern, alle neuen Einstellungen zum Deaktivieren von RC4 zu testen, bevor sie sie in ihren Umgebungen implementieren. Weitere Informationen finden Sie in der Microsoft-Sicherheitsempfehlung 2868725.
  • Microsoft hat eine Richtlinienänderung am Microsoft-Programm für Stammzertifikate zur Ablehnung des SHA-1 Hashalgorithmus in digitalen X.509-Zertifikaten angekündigt. Die neue Richtlinie lässt nach dem 1. Januar 2016 nicht mehr zu, dass Stammzertifizierungsstellen X.509-Zertifikate veröffentlichen, in denen der SHA-1 Hashalgorithmus für SSL und das Signieren von Codes verwendet wird. Microsoft empfiehlt Benutzern, ihre SHA-1-Zertifikate so bald wie möglich durch SHA-2-Zertifikate zu ersetzen. Weitere Informationen finden Sie in der Microsoft-Sicherheitsempfehlung 2880823.

Die am 13. August 2013 veröffentlichten Updates:

  • Microsoft hat ein Update (2862966) für alle unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT veröffentlicht. Das Update wird für die betroffene Software über die automatische Aktualisierung und über den Microsoft Update-Dienst angeboten. Das Update für die betroffene Software (ausgenommen Windows RT) ist auch im Download Center sowie im Microsoft Update-Katalog verfügbar. Das Update bietet einen Rahmen zur Verbesserung der Verwaltung von Zertifikaten, die in Microsoft Windows bestimmt kryptografische und Hashingalgorithmen verwenden. Mit diesem Update wird nicht die Verwendung von Zertifikaten eingeschränkt, es kann aber Voraussetzung für spätere Updates sein, mit denen die Verwendung von Zertifikaten eingeschränkt wird. Weitere Informationen und derzeit bekannte Probleme, die durch die Installation dieses Updates unter Umständen auftreten können, finden Sie im Microsoft Knowledge Base-Artikel 2862966.
  • Microsoft hat ein Update (2862973) für alle unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT veröffentlicht. Derzeit ist das Update nur im Download Center und im Microsoft Update-Katalog für die betroffene Software verfügbar (außer Windows RT). Mit dem Update wird die Verwendung von Zertifikaten mit MD5-Hashes eingeschränkt. Weitere Informationen finden Sie in der Microsoft-Sicherheitsempfehlung 2862973. Das Update 2862966 ist eine Voraussetzung für dieses Update.

Das am 11. Juni 2013 veröffentlichte Update:

  • Microsoft hat ein Update (2813430) für alle unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT veröffentlicht. Das Update für die betroffene Software (ausgenommen Windows RT) ist im Download Center sowie im Microsoft Update-Katalog verfügbar. Es wird auch über automatische Aktualisierung angeboten und durch den Microsoft Update-Dienst. Das Update für Windows RT ist über Windows-Update verfügbar. Das Update ermöglicht Administratoren, vertrauenswürdige und ungültige CTLs zu aktualisieren, ohne Zugriff auf die Windows-Update-Site zu haben. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2813430.

Was ist eine Zertifikatvertrauensliste (CTL)?
Zwischen dem Empfänger einer signierten Nachricht und dem Unterzeichner der Nachricht muss Vertrauen bestehen. Dieses Vertrauen kann durch ein Zertifikat hergestellt werden; das ist ein elektronisches Dokument, mit dem überprüft wird, ob die Organisationen oder Personen diejenigen sind, die sie vorgeben, zu sein. Ein Zertifikat wird einer Organisation durch einen Drittanbieter ausgestellt, dem beide Parteien vertrauen. Dadurch entscheidet jeder Empfänger einer signierten Nachricht, ob der Herausgeber des Zertifikats des Unterzeichners vertrauenswürdig ist. CryptoAPI hat eine Methode implementiert, die Anwendungsentwicklern ermöglicht, Anwendungen zu erstellen, die Zertifikate automatisch anhand einer vordefinierten Liste von vertrauenswürdigen Zertifikaten oder Stammzertifikaten überprüfen. Diese Liste vertrauenswürdiger Organisationen (Zertifikatbesitzer genannt) wird Zertifikatvertrauensliste (CTL: Certificate Trust List) genannt. Weitere Informationen finden Sie in dem MSDN-Artikel Überprüfung des Vertrauens in Zertifikate.

Was versteht man unter einem „digitalen Zertifikat“?
Bei der Kryptografie mit öffentlichen Schlüsseln muss einer der Schlüssel, der private Schlüssel, geheim gehalten werden. Der andere Schlüssel, der öffentliche Schlüssel, ist dafür vorgesehen, für alle Welt freigegeben zu werden. Für den Eigentümer des Schlüssels muss es jedoch eine Möglichkeit geben, der Welt mitzuteilen, wem der Schlüssel gehört. Dies kann mithilfe von digitalen Zertifikaten geschehen. Ein digitales Zertifikat ist ein elektronischer Berechtigungsnachweis, mit dem die Online-Identitäten von Individuen, Unternehmen und Computern bescheinigt werden. Digitale Zertifikate enthalten einen öffentlichen Schlüssel, der zusammen mit dazugehörigen Informationen verpackt ist: wer ihn besitzt, wofür er verwendet werden kann, wann er abläuft und so weiter.

Was ist der Zweck eines digitalen Zertifikats?
Digitale Zertifikate werden hauptsächlich dazu verwendet, die Identität einer Person oder eines Geräts zu überprüfen, einen Dienst zu authentifizieren oder Dateien zu verschlüsseln. Normalerweise müssen Sie gar nicht an Zertifikate denken. Unter Umständen wird Ihnen jedoch eine Nachricht angezeigt, die Ihnen mitteilt, dass ein Zertifikat ungültig oder abgelaufen ist. In solchen Fällen sollten Sie den Anweisungen in der Nachricht folgen.

Was ist eine Zertifizierungsstelle (CA)?
Zertifizierungsstellen sind die Unternehmen, die Zertifikate veröffentlichen. Sie richten öffentliche Schlüssel ein, die Personen oder andere Zertifizierungsstellen gehören, und überprüfen deren Echtheit. Außerdem überprüfen sie die Identität einer Person oder eines Unternehmens, die um ein Zertifikat bittet.

Weitere Informationen:

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

  • Technischer Support ist über den Security Support erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
  • Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der Website Internationale Hilfe und Support.
  • Auf der Microsoft-Website TechNet Sicherheit werden zusätzliche Informationen zur Sicherheit in Microsoft-Produkten zur Verfügung gestellt.

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (11. Juni 2013): Die Empfehlung wurde veröffentlicht.
  • V1.1 (13. August 2013): Die Updates 2862966 und 2862973 wurden dem Abschnitt Verfügbare Updates und Veröffentlichungshinweise hinzugefügt.
  • V1.2 (27. August 2013): Die Empfehlung wurde überarbeitet, um anzukündigen, dass das Update 2862973 im Microsoft Update-Katalog verfügbar ist.
  • V1.3 (12. November 2013): Dem Abschnitt Verfügbare Updates und Veröffentlichungshinweise wurden das Update 2868725 und die Ankündigung zur Richtlinienänderung der Stammzertifikate hinzugefügt.

Built at 2014-04-18T01:50:00Z-07:00

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft