Microsoft Security Advisory 4010323
Veraltet von SHA-1 für SSL/TLS-Zertifikate in Microsoft Edge und Internet Explorer 11
Veröffentlicht: 9. Mai 2017
Version: 1.0
Kurzfassung
Ab dem 9. Mai 2017 hat Microsoft Updates für Microsoft Edge und Internet Explorer 11 veröffentlicht, um Websites zu blockieren, die durch das Laden eines SHA-1-Zertifikats geschützt sind, und um eine ungültige Zertifikatwarnung anzuzeigen. Diese Änderung wirkt sich nur auf SHA-1-Zertifikate aus, die mit einem Stamm im Microsoft Trusted Root Program verkettet sind, in dem das Endentitätszertifikat oder das ausstellende Zwischenzertifikat SHA-1 verwendet. Unternehmens- oder selbstsignierte SHA-1-Zertifikate sind nicht betroffen, es wird jedoch empfohlen, dass alle Kunden schnell zu SHA-2-basierten Zertifikaten migrieren. Weitere Informationen finden Sie unter Windows-Erzwingung von SHA1-Zertifikaten.
Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 4010323.
Beratungsdetails
Problemverweise
Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:
| Informationsquellen | Informationsquellen |
|---|---|
| Allgemeine Informationen | Windows-Erzwingung von SHA1-Zertifikaten |
| \ | SHA-1-Deprecation Countdown |
| Technische Anforderungen | Schutz vor schwachen kryptografischen Algorithmen |
Betroffene Software
Diese Empfehlung gilt für die folgenden Betriebssysteme:
| Windows 7 |
|---|
| Windows 7 für 32-Bit-Systeme Service Pack 1 |
| Windows 7 für x64-basierte Systeme Service Pack 1 |
| Windows Server 2008 R2 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 |
| Windows 8.1 |
| Windows 8.1 für 32-Bit-Systeme |
| Windows 8.1 für x64-basierte Systeme |
| Windows Server 2012 R2 |
| Windows Server 2012 R2 |
| Windows 10 |
| Windows 10 für 32-Bit-Systeme |
| Windows 10 für x64-basierte Systeme |
| Windows 10 Version 1511 für 32-Bit-Systeme |
| Windows 10 Version 1511 für x64-basierte Systeme |
| Windows 10, Version 1607 für 32-Bit-Systeme |
| Windows 10, Version 1607 für x64-basierte Systeme |
| Windows Server 2016 |
| Windows Server 2016 für x64-basierte Systeme |
| Server Core-Installationsoption |
| Windows Server 2008 R2 für x64-basierte Systeme (Server Core-Installation) |
| Windows Server 2012 R2 (Server Core-Installation) |
| Windows Server 2016 für x64-basierte Systeme (Server Core-Installation) |
Häufig gestellte Fragen zu Beratungen
Was ist der Umfang der Beratung?
Diese Empfehlung zielt darauf ab, Kunden bei der Bewertung des Risikos bestimmter Anwendungen zu unterstützen, die digitale X.509-Zertifikate verwenden, die mit dem SHA-1-Hashing-Algorithmus signiert sind, und zu empfehlen, dass Administratoren und Zertifizierungsstellen SHA-2 anstelle von SHA-1 als Algorithmus zum Signieren digitaler Zertifikate verwenden.
Ist dies eine Sicherheitslücke, die erfordert, dass Microsoft ein Sicherheitsupdate ausgibt?
Nein Microsoft empfiehlt allen Kunden, zu SHA-2 zu migrieren, und die Verwendung von SHA-1 als Hashingalgorithmus für Signaturzwecke wird abgeraten und ist nicht mehr eine bewährte Methode. Obwohl dies keine Sicherheitsanfälligkeit in einem Microsoft-Produkt ist, gibt Microsoft diese Empfehlung aus, um das tatsächliche Risiko für Kunden zu klären.
Was verursacht diese Bedrohung?
Die Ursache des Problems ist eine bekannte Schwäche des SHA-1-Hashing-Algorithmus, der es Kollisionsangriffen verfügbar macht. Solche Angriffe könnten es einem Angreifer ermöglichen, zusätzliche Zertifikate zu generieren, die dieselbe digitale Signatur wie ein Original aufweisen. Die Verwendung von SHA-1-Zertifikaten für bestimmte Zwecke, die Widerstand gegen diese Angriffe erfordern, wird abgeraten. Bei Microsoft hat der Security Development Lifecycle Microsoft benötigt, den SHA-1-Hashing-Algorithmus nicht mehr als Standard in Microsoft-Software zu verwenden. Weitere Informationen zu SHA-1-Kollisionsschwächen finden Sie unter SHAttered: Die erste Kollision für vollständige SHA-1.
Was ist ein digitales Zertifikat?
In der Kryptografie für öffentliche Schlüssel muss einer der Schlüssel, der als privater Schlüssel bezeichnet wird, geheim gehalten werden. Der andere Schlüssel, der als öffentlicher Schlüssel bezeichnet wird, soll mit der Welt geteilt werden. Es muss jedoch eine Möglichkeit für den Besitzer des Schlüssels geben, um der Welt mitzuteilen, zu wem der Schlüssel gehört. Digitale Zertifikate bieten hierfür eine Möglichkeit. Ein digitales Zertifikat ist eine elektronische Anmeldeinformation, die verwendet wird, um die Onlineidentitäten von Einzelpersonen, Organisationen und Computern zu zertifizieren. Digitale Zertifikate enthalten einen öffentlichen Schlüssel, der zusammen mit Informationen darüber verpackt ist – wer besitzt ihn, wofür es verwendet werden kann, wann er abläuft usw. Weitere Informationen finden Sie unter Grundlegendes zu digitalen Zertifikaten.
Was ist der Zweck eines digitalen Zertifikats?
Digitale Zertifikate werden hauptsächlich verwendet, um die Identität einer Person oder eines Geräts zu überprüfen, einen Dienst zu authentifizieren oder Dateien zu verschlüsseln. Normalerweise gibt es überhaupt keine Notwendigkeit, über Zertifikate nachzudenken, abgesehen von der gelegentlichen Meldung, dass ein Zertifikat abgelaufen oder ungültig ist. In solchen Fällen sollte man den anweisungen folgen, die in der Nachricht angegeben sind.
Was ist eine Zertifizierungsstelle (CA)?
Zertifizierungsstellen sind die Organisationen, die Zertifikate ausstellen. Sie richten die Echtheit öffentlicher Schlüssel ein, die personen oder anderen Zertifizierungsstellen angehören, und überprüfen die Identität einer Person oder Organisation, die ein Zertifikat anfragt.
Vorgeschlagene Aktionen
Überprüfen von Änderungen der Microsoft Trusted Root Program-Richtlinien
Kunden, die mehr über das in dieser Empfehlung behandelte Thema erfahren möchten, sollten die Windows-Erzwingung von SHA1-Zertifikaten überprüfen.Aktualisieren von SHA-1 auf SHA-2
Zertifizierungsstellen sind seit Januar 2016 verboten, neue SHA-1-Zertifikate auszustellen. Kunden sollten sicherstellen, dass ihre Zertifizierungsstellen den SHA-2-Hashing-Algorithmus verwenden, um SHA-2-Zertifikate von ihren Zertifizierungsstellen abzurufen. Informationen zum Signieren von Code mit SHA-2-Zertifikaten finden Sie in den Anleitungen zu diesem Thema bei der Windows-Erzwingung von SHA1-Zertifikaten.Auswirkungen der Aktion: Ältere hardwarebasierte Lösungen erfordern möglicherweise ein Upgrade, um diese neueren Technologien zu unterstützen.
Windows auf dem neuesten Stand halten
Alle Windows-Benutzer sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Windows Update, scannen Sie Ihren Computer nach verfügbaren Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie automatische Updates aktiviert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie müssen sicherstellen, dass Sie sie installieren.
Sonstige Informationen
Feedback
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
Unterstützung
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (9. Mai 2017): Empfehlung veröffentlicht.
Seite generiert 2017-05-08 17:41-07:00.