Consultoria de Segurança

Comunicado de Segurança da Microsoft 2854544

Atualizações para melhorar a criptografia e o tratamento de certificados digitais no Windows

Publicado: terça-feira, 11 de junho de 2013 | Atualizado: November 12, 2013

Versão: 1.3

Informações Gerais

Resumo executivo

A Microsoft está anunciando a disponibilidade de atualizações como parte dos esforços contínuos para melhorar a criptografia e o tratamento de certificados digitais no Windows. A Microsoft continuará a anunciar atualizações adicionais por meio deste comunicado, todas destinadas a reforçar a infraestrutura de criptografia e tratamento de certificados do Windows em resposta a um ambiente de ameaças em evolução.

Atualizações e notas de versão disponíveis

A atualização lançada em 12 de novembro de 2013:

• A Microsoft lançou uma atualização (2868725) para todas as edições com suporte do Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT para resolver pontos fracos conhecidos no RC4. A atualização é oferecida por meio da atualização automática e do serviço Microsoft Update para todos os softwares afetados. A atualização também está disponível no Centro de Download e no Catálogo do Microsoft Update para todos os softwares afetados, exceto o Windows RT. A atualização suporta a remoção de RC4 como uma cifra disponível em sistemas afetados através de configurações do registro. Ele também permite que os desenvolvedores removam RC4 em aplicativos individuais através do uso do sinalizador SCH_USE_STRONG_CRYPTO na estrutura SCHANNEL_CRED. Essas opções não estão habilitadas por padrão. Depois de aplicar a atualização, a Microsoft recomenda que os clientes testem quaisquer novas configurações para desabilitar o RC4 antes de implementá-las em seus ambientes. Para obter mais informações, consulte o Comunicado de Segurança da Microsoft 2868725.
• A Microsoft anunciou uma alteração de política no Programa de Certificado Raiz da Microsoft para a substituição do algoritmo de hash SHA-1 em certificados digitais X.509. A nova política não permitirá mais que as autoridades de certificação raiz emitam certificados X.509 usando o algoritmo de hash SHA-1 para fins de SSL e assinatura de código após 1º de janeiro de 2016. A Microsoft recomenda que os clientes substituam seus certificados SHA-1 por certificados SHA-2 o mais rápido possível. Para obter mais informações, consulte o Comunicado de Segurança da Microsoft 2880823.

As atualizações lançadas em 13 de agosto de 2013:

• A Microsoft lançou uma atualização (2862966) para todas as edições com suporte do Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT. A atualização é oferecida por meio da atualização automática e do serviço Microsoft Update para todos os softwares afetados. A atualização também está disponível no Centro de Download e no Catálogo do Microsoft Update para todos os softwares afetados, exceto para o Windows RT. A atualização fornece uma estrutura para ajudar a melhorar o gerenciamento de certificados que usam algoritmos criptográficos e hash específicos no Microsoft Windows. Esta atualização não restringe o uso de certificados por si só, mas pode ser um pré-requisito para atualizações posteriores que restringem o uso de certificados. Para obter mais informações e problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização, consulte o Artigo 2862966 da Base de Dados de Conhecimento Microsoft.
• A Microsoft lançou uma atualização (2862973) para todas as edições com suporte do Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT. No momento, a atualização está disponível somente no Centro de Download e no Catálogo do Microsoft Update para todos os softwares afetados, exceto para o Windows RT. A atualização restringe o uso de certificados com hashes MD5. Para obter mais informações, consulte o Comunicado de Segurança da Microsoft 2862973. A atualização 2862966 é um pré-requisito para esta atualização.

A atualização lançada em 11 de junho de 2013:

• A Microsoft lançou uma atualização (2813430) para todas as edições com suporte do Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT. A atualização está disponível no Centro de Download e no Catálogo do Microsoft Update para todos os softwares afetados, exceto para o Windows RT. Ele também é oferecido por meio de atualização automática e pelo serviço Microsoft Update . A atualização para o Windows RT está disponível por meio do Windows Update. A atualização permite que os administradores atualizem CTLs confiáveis e não permitidas sem ter acesso ao site do Windows Update. Para obter mais informações, consulte o artigo 2813430 da Base de Dados de Conhecimento Microsoft.

Perguntas frequentes

O que é uma Lista de Certificados Confiáveis (CTL)?
Uma relação de confiança deve existir entre o destinatário de uma mensagem assinada e o signatário da mensagem. Um método de estabelecer essa confiança é por meio de um certificado, um documento eletrônico que verifica se as entidades ou pessoas são quem dizem ser. Um certificado é emitido para uma entidade por um terceiro que é confiável por ambas as outras partes. Assim, cada destinatário de uma mensagem assinada decide se o emissor do certificado do signatário é confiável. A CryptoAPI implementou uma metodologia para permitir que os desenvolvedores de aplicativos criem aplicativos que verificam automaticamente certificados em relação a uma lista predefinida de certificados confiáveis ou raízes. Essa lista de entidades confiáveis (chamadas de entidades) é chamada de lista de certificados confiáveis (CTL). Para obter mais informações, consulte o artigo do MSDN, Verificação de confiança de certificado.

O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, destina-se a ser compartilhada com o mundo. No entanto, deve haver uma maneira de o dono da chave dizer ao mundo a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é uma credencial eletrônica usada para certificar as identidades online de indivíduos, organizações e computadores. Os certificados digitais contêm uma chave pública empacotada junto com informações sobre ela - quem a possui, para que ela pode ser usada, quando expira e assim por diante.

Para que serve um certificado digital?
Os certificados digitais são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente, você não terá que pensar em certificados. No entanto, você pode ver uma mensagem informando que um certificado expirou ou é inválido. Nesses casos, você deve seguir as instruções na mensagem.

O que é uma autoridade de certificação (AC)?
As autoridades de certificação são as organizações que emitem certificados. Eles estabelecem e verificam a autenticidade de chaves públicas que pertencem a pessoas ou outras autoridades de certificação e verificam a identidade de uma pessoa ou organização que solicita um certificado.

Outras Informações

Feedback

• Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.

Suporte

• Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
• Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
• O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Aviso de isenção de responsabilidade

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

• V1.0 (11 de junho de 2013): Comunicado publicado.
• V1.1 (13 de agosto de 2013): Adicionadas as atualizações 2862966 e 2862973 à seção Atualizações Disponíveis e Notas de Versão.
• V1.2 (27 de agosto de 2013): Comunicado revisado para anunciar que a atualização 2862973 está disponível no Catálogo do Microsoft Update.
• V1.3 (12 de novembro de 2013): Adicionada a atualização 2868725 e o anúncio da Política de Certificados Raiz à seção Atualizações Disponíveis e Notas de Versão.

Construído em 2014-04-18T13:49:36Z-07:00