Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2661254

Aggiornamento per lunghezza minima chiave certificato

Data di pubblicazione: martedì 14 agosto 2012 | Aggiornamento: martedì 9 ottobre 2012

Versione: 2.0

Informazioni generali

Riepilogo

Microsoft comunica la disponibilità di un aggiornamento di Windows che limita l'utilizzo di certificati con chiavi RSA di lunghezza inferiore a 1024 bit. Le chiavi private utilizzate in questi certificati possono essere derivate e possono consentire a un utente malintenzionato di duplicare i certificati e utilizzarli in modo fraudolento per accedere a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle".

Nota Questo aggiornamento interessa le applicazioni e i servizi che utilizzano le chiavi RSA e la funzione CertGetCertificateChain. Tali applicazioni e servizi non riterranno più affidabili i certificati con chiavi RSA di lunghezza inferiore a 1024 bit. Gli esempi di applicazioni e servizi interessati includono, ma non solo, messaggi dotati di firma digitale, canali di crittografia SSL/TLS, applicazioni firmate e ambienti PKI privati. I certificati che utilizzano algoritmi crittografici diversi da RSA non sono interessati da questo aggiornamento. Per ulteriori informazioni sulle applicazioni e i servizi interessati da questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2661254.

L'aggiornamento è disponibile dall'Area download e dal catalogo di Microsoft Update per tutte le versioni supportate di Microsoft Windows. Inoltre, a partire dal 9 ottobre 2012, questo aggiornamento viene offerto tramite gli aggiornamenti automatici e il servizio Microsoft Update.

Raccomandazione. Microsoft consiglia di installare l'aggiornamento quanto prima. Per ulteriori informazioni, consultare la sezione Interventi consigliati di questo advisory.

Problemi noti. L'articolo della Microsoft Knowledge Base 2661254 descrive i problemi attualmente conosciuti che gli utenti potrebbero riscontrare durante l'installazione di questo aggiornamento. L'articolo illustra inoltre le soluzioni consigliate in grado di risolvere questi problemi.

Dettagli sull'advisory

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

RiferimentiIdentificazione
Articolo della Microsoft Knowledge Base 2661254

Software e dispositivi interessati

In questo advisory vengono presi in esame i seguenti prodotti software.

Sistema operativo
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP2 per sistemi Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemi a 32 bit Service Pack 2
Windows Server 2008 per sistemi x64 Service Pack 2
Windows Server 2008 per sistemi Itanium Service Pack 2
Windows 7 per sistemi a 32 bit e Windows 7 per sistemi a 32 bit Service Pack 1
Windows 7 per sistemi x64 e Windows 7 per sistemi x64 Service Pack 1
Windows Server 2008 R2 per sistemi a x64 e Windows Server 2008 R2 per sistemi a x64 Service Pack 1
Windows Server 2008 R2 per sistemi Itanium e Windows Server 2008 R2 per sistemi Itanium Service Pack 1
Opzione di installazione Server Core
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core)
Windows Server 2008 per sistemi x64 Service Pack 2 (installazione Server Core)
Windows Server 2008 R2 per sistemi x64 e Windows Server 2008 R2 per sistemi x64 Service Pack 1 (installazione Server Core)

Perché Microfsoft ha rivisto questo advisory in data 9 ottobre 2012 ?
Microsoft ha rivisto questo advisory per i seguenti motivi:

  • Per offrire il nuovo rilascio dell'aggiornamento KB2661254 per Windows XP che consente di risolvere un problema riguardante specifici certificati digitali generati da Microsoft senza attributi di timestamp corretti. Per ulteriori informazioni su questo problema, vedere l'Advisory Microsoft sulla sicurezza 2749655. I clienti che hanno installato correttamente l'aggiornamento sui sistemi Windows XP non devono eseguire ulteriori operazioni. Inoltre, tali clienti non riceveranno ulteriori offerte relative all'aggiornamento. Il nuovo rilascio si applica solo ai sistemi Windows XP sui quali l'aggiornamento non è stato precedentemente installato.
  • Per comunicare che l'aggiornamento KB2661254 per tutte le versioni supportate di Microsoft Windows è ora disponibile tramite gli aggiornamenti automatici.

Perché questo advisory è stato rivisto l'11 settembre 2012?
Microsoft ha rivisto questo advisory per chiarire che le applicazioni e i servizi che utilizzano chiavi RSA per la crittografia e che si avvalgono della funzione CertGetCertificateChain potrebbero essere interessati da questo aggiornamento. Gli esempi di applicazioni e servizi interessati includono, ma non solo, messaggi dotati di firma digitale, canali di crittografia SSL/TLS, applicazioni firmate e ambienti PKI privati.

Per ulteriori informazioni sull'eventuale impatto per i clienti e sui problemi noti che i clienti potrebbero riscontrare durante l'installazione di questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2661254.

Qual è lo scopo di questo advisory?
Lo scopo di questo advisory è informare i clienti che è disponibile un aggiornamento per tutte le versioni supportate di Microsoft Windows che richiederà certificati con chiavi RSA di lunghezza uguale o superiore a 1024 bit. I certificati con chiavi RSA di lunghezza inferiore a 1024 bit possono essere derivati in un breve periodo di tempo e possono consentire a un utente malintenzionato di duplicare i certificati e utilizzarli in modo fraudolento per accedere a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle". Questo aggiornamento è stato verificato accuratamente ed è di qualità sufficiente per il rilascio. L'aggiornamento è stato rilasciato nell'Area download per consentire ai clienti di valutare il proprio ambiente e dare loro l'opportunità di ripubblicare i certificati necessari prima della distribuzione su vasta scala tramite Microsoft Update.

In che modo un utente malintenzionato può utilizzare i certificati in modo fraudolento ?
Un utente malintenzionato può duplicare il certificato e utilizzarlo in modo fraudolento per accedere a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle".

In che modo un utente malintenzionato potrebbe duplicare un certificato?
Una firma digitale può essere creata solo dalla persona che dispone della chiave privata del certificato. Un utente malintenzionato può tentare di indovinare tale chiave e utilizzare tecniche matematiche per stabilire se la supposizione è corretta. La difficoltà nel riuscire a indovinare la chiave privata è proporzionale al numero di bit utilizzati nella chiave. Quindi, più è lunga la chiave, più tempo occorre a un utente malintenzionato per indovinare la chiave privata. Utilizzando hardware moderno, le chiavi di lunghezza inferiore a 1024 bit possono essere scoperte in breve tempo. Una volta che l'utente malintenzionato ha individuato la chiave privata, l'utente malintenzionato può duplicare il certificato e utilizzarlo in modo fraudolento per accedere a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle".

Che cos'è un attacco di tipo "man-in-the-middle"?
Un attacco di tipo "man-in-the-middle" si verifica quando un utente malintenzionato riavvia la comunicazione tra due utenti utilizzando il proprio computer all'insaputa degli utenti che stanno comunicando. Ogni utente coinvolto nella comunicazione invia e riceve traffico dall'utente malintenzionato in modo inconsapevole, poiché crede di comunicare solamente con l'utente desiderato.

Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, conosciuta come chiave privata, deve essere tenuta segreta. L'altra chiave, conosciuta come chiave pubblica, può essere condivisa. Tuttavia, il proprietario della chiave deve dichiararne la proprietà. I certificati digitali forniscono una soluzione a tal fine. Un certificato digitale è una credenziale elettronica utilizzata per certificare le identità online di individui, organizzazioni e computer. I certificati digitali contengono una chiave pubblica fornita insieme alle relative informazioni (chi possiede il certificato, come può essere utilizzato, quando scade ecc.

Come prepararsi per questa versione?
Consultare la sezione Interventi consigliati per un elenco di azioni da eseguire in preparazione all'implementazione di questo aggiornamento.

Quando verrà rilasciato questo aggiornamento tramite Microsoft Update ?
Microsoft ha in programma di rilasciare questo aggiornamento tramite Microsoft Update a ottobre 2012.

Che azioni esegue l'aggiornamento KB2661254?
Su tutte le versioni supportate di Microsoft Windows, l'aggiornamento KB2661254 richiede che i certificati con chiavi RSA siano di lunghezza uguale o superiore a 1024 bit. I certificati che utilizzano algoritmi crittografici diversi da RSA non sono interessati da questo aggiornamento. I prodotti Microsoft o i prodotti terze parti che si avvalgono della funzione CertGetCertificateChain non riterranno più affidabili i certificati con chiavi RSA di lunghezza inferiore a 1024 bit. Questa funzione costruisce un contesto a catena per il certificato, a partire dall'ultimo certificato e risalendo, se possibile, al certificato affidabile originario. Quando la catena viene convalidata, tutti i certificati della catena vengo esaminati per assicurare che dispongano di una chiave RSA di lunghezza di almeno 1024 bit. Se un certificato della catena dispone una chiave RSA di lunghezza inferiore a 1024 bit, il certificato finale non verrà ritenuto affidabile.

Inoltre, l'aggiornamento può essere configurato per registrare quando i certificati vengono bloccati dall'aggiornamento. Per ulteriori informazioni in merito all'attivazione di questa funzionalità di registrazione, consultare la sezione Interventi consigliati di questo advisory. Per un elenco completo degli scenari che illustrano come questo aggiornamento blocca l'utilizzo di chiavi RSA di lunghezza inferiore a 1024 bit, vedere l'articolo della Microsoft Knowledge Base 2661254.

Questo aggiornamento si applica a Windows 8 Release Preview o Windows Server 2012 Release Candidate ?
No. Questo aggiornamento non si applica a Windows 8 Release Preview o Windows Server 2012 Release Candidate, in quanto questi sistemi operativi contengono già la funzionalità che richiede che i certificati con chiavi RSA siano di lunghezza uguale o superiore a 1024 bit.

Come comportarsi se viene individuato un certificato con una chiave RSA di lunghezza inferiore a 1024 bit ?
I clienti che individuano certificati con chiavi RSA di lunghezza inferiore a 1024 bit nei propri ambienti devono richiedere certificati più lunghi alla propria autorità di certificazione. I clienti che gestiscono i propri ambienti PKI devono creare nuove coppie di chiavi più lunghe e rilasciare nuovi certificati da queste nuove chiavi. I clienti devono assicurarsi di utilizzare una lunghezza della chiave sufficiente per soddisfare i propri requisiti per la crittografia dei dati, che potrebbero eccedere il valore minimo richiesto da questo aggiornamento.

Che cos'è un'autorità di certificazione (CA)?
Un'autorità di certificazione (CA) è responsabile dell'attestazione dell'identità di utenti, computer e organizzazioni. L'autorità di certificazione autentica un'entità e garantisce per tale identità rilasciando un certificato con firma digitale. L'autorità di certificazione, inoltre, può revocare e rinnovare i certificati.

Un'autorità di certificazione può fare riferimento ai seguenti elementi:

  • Un'organizzazione che garantisce per l'identità di un utente finale
  • Un server utilizzato dall'organizzazione per rilasciare e gestire certificati

Per le versioni supportate di Microsoft Windows

Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, poiché questo aggiornamento per la protezione viene scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità Aggiornamenti automatici devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni delle organizzazioni, o per gli utenti finali che desiderano installare l'aggiornamento KB2661254 manualmente, Microsoft consiglia ai clienti di scaricare l'aggiornamento e valutare l'impatto della richiesta che i certificati con chiavi RSA siano di lunghezza uguale o superiore a 1024 bit. Vedere l'articolo della Microsoft Knowledge Base 2661254 per i collegamenti di download ai pacchetti di aggiornamento o eseguire una ricerca dei pacchetti di aggiornamento nel catalogo di Microsoft Update.

Per gli amministratori e le installazioni delle organizzazioni, Microsoft consiglia di valutare l'ambiente per verificare l'esistenza di certificati con chiavi RSA di meno di 1024 bit di lunghezza e ripubblicare questi certificati. Per ulteriori informazioni sulle applicazioni e i servizi interessati da questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2661254.

I clienti che hanno applicato precedentemente l'aggiornamento KB2661254 originale prima del 9 ottobre 2012 devono applicare i pacchetti di aggiornamento rilasciati nuovamente per evitare un problema relativo ai certificati digitali descritti nell'Advisory Microsoft sulla sicurezza 2749655. Vedere le Domande frequenti sull'advisory per ulteriori informazioni.

Ulteriori interventi consigliati

  • Identificare i certificati con lunghezza delle chiavi RSA inferiore a 1024 bit utilizzati nell'organizzazione

    Consultare l'articolo della Microsoft Knowledge Base 2661254 per istruzioni dettagliate su come individuare i certificati RSA attualmente utilizzati nell'organizzazione.

  • Consultare l'articolo della Microsoft Knowledge Base 2661254 per gli scenari in cui questo aggiornamento bloccherà i certificati

    Consultare l'articolo della Microsoft Knowledge Base 2661254 per un elenco degli scenari in cui questo aggiornamento bloccherà i certificati con chiavi RSA di lunghezza inferiore a 1024 bit.

  • Attivare la registrazione dei certificati per facilitare l'identificazione dell'utilizzo di chiavi RSA di lunghezza inferiore a 1024 bit

    Per impostazione predefinita, la funzione di registrazione non è attivata. La registrazione può essere attivata per facilitare l'identificazione dell'utilizzo di chiavi RSA di lunghezza inferiore a 1024 bit impostando la directory di registrazione nel Registro di sistema.

    Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.

    Editor del Registro di sistema di Windows versione 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config]
    " WeakSignatureLogDir"

    Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso. Inoltre, può essere applicato in domini diversi utilizzando i Criteri di gruppo. Per ulteriori informazioni sui Criteri di gruppo, vedere Strumenti e impostazioni principali di Criteri di gruppo.

    Impatto della soluzione alternativa: L'attivazione della registrazione su un sistema di produzione può causare problemi di prestazioni e deve essere utilizzata con attenzione. È necessario prestare particolare attenzione alla directory su cui è attivata la registrazione, per evitare di riempire il volume. Inoltre, questa directory deve essere configurata per consentire a tutti i sistemi appropriati di scrivere in questa posizione. I clienti non devono mai consentire ad utenti anonimi di scrivere nelle condivisioni dell'organizzazione.

  • Proteggere il proprio PC

    Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni, vedere Microsoft Safety & Security Center.

  • Tenere il software Microsoft aggiornato

    Si consiglia a tutti gli utenti dei software Microsoft di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Microsoft Update, per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se l'aggiornamento automatico è attivato e configurato per fornire aggiornamenti dei prodotti Microsoft, gli aggiornamenti vengono forniti quando sono rilasciati, ma è necessario verificare che sono installati.

Altre informazioni

Commenti e suggerimenti

Supporto

  • Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Security Support. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Microsoft Aiuto & Supporto.
  • I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito per il supporto internazionale.
  • Microsoft TechNet Sicurezza fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (14 agosto 2012): Pubblicazione dell'advisory.
  • V1.1 (14 agosto 2012): Il Riepilogo è stato corretto allo scopo di spiegare che, dopo l'applicazione di questo aggiornamento, i clienti devono utilizzare dei certificati con chiavi RSA di lunghezza uguale o superiore a 1024 bit.
  • V1.2 (11 settembre 2012): È stato chiarito che le applicazioni e i servizi che utilizzano chiavi RSA per la crittografia e che si avvalgono della funzione CertGetCertificateChain potrebbero essere interessati da questo aggiornamento. Gli esempi di applicazioni e servizi interessati includono, ma non solo, messaggi dotati di firma digitale, canali di crittografia SSL/TLS, applicazioni firmate e ambienti PKI privati.
  • V2.0 (9 ottobre 2012): Advisory rivisto per offrire il nuovo rilascio dell'aggiornamento KB2661254 per Windows XP e per comunicare che l'aggiornamento KB2661254 per tutte le versioni supportate di Microsoft Windows è ora disponibile tramite gli aggiornamenti automatici. I clienti che hanno già installato l'aggiornamento KB2661254 non devono eseguire ulteriori operazioni. Per dettagli, vedere le Domande frequenti relative all'advisory.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft