Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 2880823

Substituição do algoritmo hashing SHA-1 do Programa de certificado raiz de Microsoft

Publicado: terça-feira, 12 de novembro de 2013

Versão: 1.0

Informações Gerais

Sinopse

A Microsoft anunciou uma alteração de política ao Programa de Certificado Raiz da Microsoft. A nova política não mais permitirá que as autoridades de certificado raiz publiquem certificados X.509 usando o algoritmo de hashing SHA-1 para os propósitos de SSL e código assinado depois de 1º de janeiro de 2016. Usar o algoritmo hashing SHA-1 em certificados digitais pode permitir que o invasor falsifique o conteúdo, execute ataques de phishing ou ataques de intermediários.

Recomendação:  A Microsoft recomenda que as autoridades de certificado não mais assinem certificados gerados co o uso do algoritmo hashing SHA-1 e comece a migrar para o SHA-2. A Microsoft ainda recomenda que os clientes substituam seus certificados SHA-1 por SHA-2 assim que possível. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

ReferênciasIdentificação
Documentação da política Programa de certificado raiz da Microsoft

Qual é o escopo do comunicado?
Este comunicado pretende ajudar os clientes a avaliar o risco de determinados aplicativos que usam certificados digitais X.509 que são assinados usando o algoritmo hashing SHA-1 e recomendar que os administradores e as autoridades de certificado comecem a usar o SHA-2 no lugar do SHA-1 como um algoritmo para assinar certificados digitais.

Trata-se de uma vulnerabilidade de segurança que requer a publicação de uma atualização pela Microsoft?
Não. Uma alternativa de mecanismo de assinatura para o SHA-1 foi disponibilizada por tempo limitado, e o uso do SHA-1 como um algoritmo hashing para assinaturas foi desestimulado e não é mais uma prática recomendada. Contudo, a Microsoft avaliará qualquer oportunidade de fortalecimento de tecnologias para detectar certificados fraudulentos. Embora isso não seja uma vulnerabilidade em um produto da Microsoft, a Microsoft está emitindo este comunicado para ajudar a esclarecer o risco real envolvido aos clientes.

O que provoca essa ameaça?
A principal causa do problema é um ponto fraco conhecido do algoritmo hashing SHA-1 que o expõe a ataques de colisão. Tais ataques permitem que um invasor gere certificados adicionais com a mesma assinatura digital que a do original. Esses problemas são bem compreendidos e o uso do SHA-1 para propósitos específicos que exigem resistência contra esses ataques não é recomendado. Na Microsoft, o Security Development Lifecycle exigiu que a Microsoft não usasse mais o algoritmo hashing SHA-1 como padrão em softwares da Microsoft.

O que é uma Lista de certificados confiáveis (CTL)? 
Deve haver confiança entre o destinatário de uma mensagem assinada e o signatário da mensagem. Um método de estabelecer essa confiança é por meio de um certificado, um documento eletrônico que verifica se entidades ou pessoas são quem eles alegam ser. Um certificado é publicado para uma entidade por terceiros que são confiáveis pelas outras partes. Assim sendo, cada destinatário de uma mensagem assinada decide se o emissor do certificado do signatário é confiável. O CryptoAPI implementou uma metodologia para permitir que desenvolvedores de aplicativos criem aplicativos que verificam automaticamente certificados em uma lista predefinida de certificados confiáveis ou raízes. Essa lista de entidades confiáveis (chamada assuntos) é chamada lista de certificados confiáveis (CTL). Para obter mais informações, consulte o artigo do MSDN, Verificação de Confiança de Certificado.

O que é um certificado digital? 
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, deve ser compartilhada com todos. No entanto, deve haver uma forme de o proprietário da chave contar a todos a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Certificado digital é uma credencial eletrônica usada para certificar as identidades online de indivíduos, organizações e computadores. Os certificados digitais contêm uma chave pública com informações sobre ela - quem a possui, com que propósito ela pode ser usada, quando ela expira, etc. Para obter mais informações, consulte Entendendo a criptografia de chave pública e Certificados digitais.

Qual o propósito de um certificado digital? 
Os certificados digitais são usados, principalmente, para verificar a identidade de uma pessoa ou de um dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente, não há necessidade de pensar sobre certificados, a não ser uma mensagem ocasional declarando que um certificado é expirado ou está inválido. Nesses casos, você deve seguir as instruções da mensagem.

O que é uma autoridade de certificação (CA)? 
As autoridades de certificação são as organizações que publicam certificados. Elas estabelecem e verificam a autenticidade das chaves públicas que pertencem às pessoas ou a outras autoridades de certificação, e elas verificam a identidade de uma pessoa ou organização que solicita um certificado.

  • Consulte as alterações da Política do programa de certificado raiz da Microsoft

    Os clientes que estiverem interessados em obter mais informações sobre o tópico abordado neste comunicado devem consultar a Política do programa de certificado raiz da Microsoft.

  • Atualização de SHA-1 para SHA-2

    As autoridades de certificado não devem mais assinar novos certificados gerados usando o algoritmo hashing SHA-1. Os clientes devem atualizar as autoridades de certificado para usar o algoritmo hashing SHA-2 e obter certificados SHA-2 de suas autoridades de certificado.

    Impacto da ação: Soluções com base em hardware mais antigas podem exigir atualizações para oferecer suporte a essas tecnologias mais recentes.

  • Mantenha o Windows atualizado

    Todos os usuários do Windows devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estão protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Windows Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se o recurso Atualizações automáticas estiver ativado, as atualizações serão fornecidas quando forem lançadas, mas você precisará instalá-las.

Outras informações

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (12 de novembro de 2013): Comunicado publicado.

Built at 2014-04-18T01:50:00Z-07:00

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft