Avviso di sicurezza

Microsoft Security Advisory 2854544

Aggiornamenti per migliorare la gestione dei certificati crittografici e digitali in Windows

Pubblicato: 11 giugno 2013 | Aggiornamento: 12 novembre 2013

Versione: 1.3

Informazioni generali

Schema riepilogativo

Microsoft annuncia la disponibilità degli aggiornamenti come parte degli sforzi continui per migliorare la gestione dei certificati digitali e della crittografia in Windows. Microsoft continuerà ad annunciare aggiornamenti aggiuntivi tramite questo avviso, tutti volti a rafforzare l'infrastruttura di crittografia e gestione dei certificati di Windows in risposta a un ambiente di minaccia in continua evoluzione.

Note sulla versione e Aggiornamenti disponibili

L'aggiornamento rilasciato il 12 novembre 2013:

• Microsoft ha rilasciato un aggiornamento (2868725) per tutte le edizioni supportate di Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT per risolvere i punti deboli noti in RC4. L'aggiornamento viene offerto tramite l'aggiornamento automatico e tramite il servizio Microsoft Update per tutto il software interessato. L'aggiornamento è disponibile anche nell'Areadownload e nel Catalogo di Microsoft Update per tutto il software interessato, ad eccezione di Windows RT. L'aggiornamento supporta la rimozione di RC4 come crittografia disponibile nei sistemi interessati tramite le impostazioni del Registro di sistema. Consente inoltre agli sviluppatori di rimuovere RC4 in singole applicazioni tramite l'uso del flag SCH_U edizione Standard_STRONG_CRYPTO nella struttura SCHANNEL_CRED. Queste opzioni non sono abilitate per impostazione predefinita. Dopo aver applicato l'aggiornamento, Microsoft consiglia ai clienti di testare le nuove impostazioni per disabilitare RC4 prima di implementarli nei propri ambienti. Per altre informazioni, vedere Microsoft Security Advisory 2868725.
• Microsoft ha annunciato una modifica dei criteri al Programma di certificazione radice Microsoft per la deprecazione dell'algoritmo hash SHA-1 nei certificati digitali X.509. Il nuovo criterio non consentirà più alle autorità di certificazione radice di rilasciare certificati X.509 usando l'algoritmo hash SHA-1 ai fini della firma SSL e del codice dopo il 1° gennaio 2016. Microsoft consiglia ai clienti di sostituire i certificati SHA-1 con certificati SHA-2 nella prima opportunità. Per altre informazioni, vedere Microsoft Security Advisory 2880823.For more information, see Microsoft Security Advisory 2880823.

Gli aggiornamenti rilasciati il 13 agosto 2013:

• Microsoft ha rilasciato un aggiornamento (2862966) per tutte le edizioni supportate di Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT. L'aggiornamento viene offerto tramite l'aggiornamento automatico e tramite il servizio Microsoft Update per tutto il software interessato. L'aggiornamento è disponibile anche nell'Areadownload e nel Catalogo di Microsoft Update per tutti i software interessati, ad eccezione di Windows RT. L'aggiornamento fornisce un framework per migliorare la gestione dei certificati che usano algoritmi di crittografia e hash specifici in Microsoft Windows. Questo aggiornamento non limita l'uso di certificati da solo, ma può essere un prerequisito per gli aggiornamenti successivi che limitano l'uso dei certificati. Per altre informazioni e per i problemi attualmente noti che i clienti potrebbero riscontrare durante l'installazione di questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2862966.
• Microsoft ha rilasciato un aggiornamento (2862973) per tutte le edizioni supportate di Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT. Al momento l'aggiornamento è disponibile solo dall'Area download e dal Catalogo di Microsoft Update per tutti i software interessati, ad eccezione di Windows RT. L'aggiornamento limita l'uso dei certificati con hash MD5. Per altre informazioni, vedere Microsoft Security Advisory 2862973. L'aggiornamento 2862966 è un prerequisito per questo aggiornamento.

L'aggiornamento rilasciato il 11 giugno 2013:

• Microsoft ha rilasciato un aggiornamento (2813430) per tutte le edizioni supportate di Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT. L'aggiornamento è disponibile nell'Areadownload e nel Catalogo di Microsoft Update per tutti i software interessati, ad eccezione di Windows RT. Viene anche offerto tramite l'aggiornamento automatico e tramite il servizio Microsoft Update . L'aggiornamento per Windows RT è disponibile tramite Windows Update. L'aggiornamento consente agli amministratori di aggiornare elenchi di controllo di accesso attendibili e non consentiti senza avere accesso al sito di Windows Update. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 2813430.

Domande frequenti

Che cos'è un elenco di certificati attendibili (CTL)?
Un trust deve esistere tra il destinatario di un messaggio firmato e il firmatario del messaggio. Un metodo per stabilire questa relazione di trust è attraverso un certificato, un documento elettronico che verifica che le entità o le persone siano le persone che sostengono di essere. Un certificato viene rilasciato a un'entità da terze parti considerato attendibile da entrambe le altre parti. Ogni destinatario di un messaggio firmato decide quindi se l'autorità emittente del certificato del firmatario è attendibile. CryptoAPI ha implementato una metodologia per consentire agli sviluppatori di applicazioni di creare applicazioni che verificano automaticamente i certificati rispetto a un elenco predefinito di certificati o radici attendibili. Questo elenco di entità attendibili (denominate soggetti) è denominato elenco di certificati attendibili (CTL). Per altre informazioni, vedere l'articolo MSDN, Verifica attendibilità certificati.

Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, nota come chiave privata, deve essere mantenuta segreta. L'altra chiave, nota come chiave pubblica, è destinata a essere condivisa con il mondo. Tuttavia, deve esserci un modo per consentire al proprietario della chiave di indicare al mondo a chi appartiene la chiave. I certificati digitali consentono di eseguire questa operazione. Un certificato digitale è una credenziale elettronica usata per certificare le identità online di singoli utenti, organizzazioni e computer. I certificati digitali contengono una chiave pubblica in pacchetto con informazioni su di esso, ovvero chi ne è proprietario, cosa può essere usato per, alla scadenza e così via.

Qual è lo scopo di un certificato digitale?
I certificati digitali vengono usati principalmente per verificare l'identità di una persona o di un dispositivo, autenticare un servizio o crittografare i file. In genere non è necessario considerare affatto i certificati. È tuttavia possibile che venga visualizzato un messaggio che informa che un certificato è scaduto o non è valido. In questi casi è necessario seguire le istruzioni nel messaggio.

Che cos'è un'autorità di certificazione (CA)?
Le autorità di certificazione sono le organizzazioni che rilasciano certificati. Stabiliscono e verificano l'autenticità delle chiavi pubbliche che appartengono a persone o altre autorità di certificazione e verificano l'identità di una persona o di un'organizzazione che richiede un certificato.

Altre informazioni

Feedback

• È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).

Supporto tecnico

• I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
• I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
• Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni

• V1.0 (11 giugno 2013): Avviso pubblicato.
• V1.1 (13 agosto 2013): Aggiunta degli aggiornamenti 2862966 e 2862973 alla sezione Note sulla versione e Aggiornamenti disponibili.
• V1.2 (27 agosto 2013): avviso rivisto per annunciare che l'aggiornamento 2862973 è disponibile nel Catalogo di Microsoft Update.
• V1.3 (12 novembre 2013): aggiunta dell'annuncio dei criteri di aggiornamento e certificati radice 2868725 alla sezione Note sulla versione e sull'Aggiornamenti disponibili.

Costruito al 2014-04-18T13:49:36Z-07:00