Comunicado de Segurança da Microsoft 4010323
Substituição do SHA-1 para certificados SSL/TLS no Microsoft Edge e no Internet Explorer 11
Publicado em: 9 de maio de 2017
Versão: 1.0
Resumo executivo
A partir de 9 de maio de 2017, a Microsoft lançou atualizações para o Microsoft Edge e o Internet Explorer 11 para impedir o carregamento de sites protegidos com um certificado SHA-1 e exibir um aviso de certificado inválido. Essa alteração afetará apenas os certificados SHA-1 que encadeiam a uma raiz no Programa Raiz Confiável da Microsoft em que o certificado de entidade final ou o intermediário de emissão usa SHA-1. Os certificados SHA-1 corporativos ou autoassinados não serão afetados, embora seja recomendável que todos os clientes migrem rapidamente para certificados baseados em SHA-2. Para obter mais informações, consulte Imposição do Windows de certificados SHA1.
Para obter mais informações, consulte o artigo 4010323 da Base de Dados de Conhecimento Microsoft.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Referências |
|---|---|
| Informações Gerais | Imposição do Windows de certificados SHA1 |
| \ | Contagem regressiva de depreciação SHA-1 |
| Requisitos técnicos | Proteção contra algoritmos criptográficos fracos |
Softwares afetados
Este comunicado aplica-se aos seguintes sistemas operacionais:
| Windows 7 |
|---|
| Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows 7 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 |
| Windows 8.1 |
| Windows 8.1 para sistemas de 32 bits |
| Windows 8.1 para sistemas baseados em x64 |
| Windows Server 2012 R2 |
| Windows Server 2012 R2 |
| Windows 10 |
| Windows 10 para sistemas de 32 bits |
| Windows 10 para sistemas baseados em x64 |
| Windows 10 versão 1511 para sistemas de 32 bits |
| Windows 10 versão 1511 para sistemas baseados em x64 |
| Windows 10 versão 1607 para sistemas de 32 bits |
| Windows 10 versão 1607 para sistemas baseados em x64 |
| Windows Server 2016 |
| Windows Server 2016 para sistemas baseados em x64 |
| Opção de instalação Server Core |
| Windows Server 2008 R2 para sistemas baseados em x64 (instalação Server Core) |
| Windows Server 2012 R2 (instalação Server Core) |
| Windows Server 2016 para sistemas baseados em x64 (instalação Server Core) |
Perguntas frequentes sobre o Advisory
Qual o escopo da assessoria?
Este comunicado visa ajudar os clientes a avaliar o risco de determinados aplicativos que usam certificados digitais X.509 assinados usando o algoritmo de hash SHA-1 e recomendar que administradores e autoridades de certificação usem SHA-2 no lugar de SHA-1 como um algoritmo para assinar certificados digitais.
Esta é uma vulnerabilidade de segurança que exige que a Microsoft emita uma atualização de segurança?
Não. A Microsoft recomenda que todos os clientes migrem para o SHA-2, e o uso do SHA-1 como um algoritmo de hash para fins de assinatura é desencorajado e não é mais uma prática recomendada. Embora esta não seja uma vulnerabilidade em um produto da Microsoft, a Microsoft está emitindo este comunicado para ajudar a esclarecer o risco real envolvido para os clientes.
O que causa essa ameaça?
A causa raiz do problema é uma fraqueza conhecida do algoritmo de hash SHA-1 que o expõe a ataques de colisão. Esses ataques podem permitir que um invasor gere certificados adicionais que tenham a mesma assinatura digital de um original. O uso de certificados SHA-1 para fins específicos que exigem resistência contra esses ataques é desencorajado. Na Microsoft, o Ciclo de Vida de Desenvolvimento de Segurança exigiu que a Microsoft não usasse mais o algoritmo de hash SHA-1 como padrão no software da Microsoft. Para obter mais informações sobre a fraqueza de colisão SHA-1, consulte SHAttered: A primeira colisão para SHA-1 completo.
O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, destina-se a ser compartilhada com o mundo. No entanto, deve haver uma maneira de o dono da chave dizer ao mundo a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é uma credencial eletrônica usada para certificar as identidades online de indivíduos, organizações e computadores. Os certificados digitais contêm uma chave pública empacotada junto com informações sobre ela - quem a possui, para que ela pode ser usada, quando expira e assim por diante. Para obter mais informações, consulte Noções básicas sobre certificados digitais.
Para que serve um certificado digital?
Os certificados digitais são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente, não há necessidade de pensar em certificados, além da mensagem ocasional informando que um certificado expirou ou é inválido. Nesses casos, deve-se seguir as instruções fornecidas na mensagem.
O que é uma autoridade de certificação (AC)?
As autoridades de certificação são as organizações que emitem certificados. Eles estabelecem e verificam a autenticidade de chaves públicas que pertencem a pessoas ou outras autoridades de certificação e verificam a identidade de uma pessoa ou organização que solicita um certificado.
Ações sugeridas
Revise as alterações de diretiva de programa raiz confiável da Microsoft
Os clientes interessados em saber mais sobre o tópico abordado neste comunicado devem examinar a Imposição de Certificados SHA1 do Windows.Atualização de SHA-1 para SHA-2
As autoridades de certificação estão proibidas de emitir novos certificados SHA-1 desde janeiro de 2016. Os clientes devem garantir que suas autoridades de certificação estejam usando o algoritmo de hash SHA-2 para obter certificados SHA-2 de suas autoridades de certificação. Para assinar código com certificados SHA-2, consulte as orientações sobre este tópico em Imposição de certificados SHA1 do Windows.Impacto da ação: soluções baseadas em hardware mais antigas podem exigir atualização para oferecer suporte a essas tecnologias mais recentes.
Mantenha o Windows atualizado
Todos os usuários do Windows devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Windows Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver as Atualizações Automáticas habilitadas, as atualizações serão entregues a você quando forem lançadas, mas você precisará se certificar de instalá-las.
Outras Informações
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (9 de maio de 2017): Comunicado publicado.
Página gerada em 08/05/2017 17:41-07:00.