安全公告

Microsoft 安全咨询2854544

汇报改进 Windows 中的加密和数字证书处理

发布时间： 2013 年 6 月 11 日 |更新时间：2013 年 11 月 12 日

版本： 1.3

常规信息

执行摘要

Microsoft 宣布在不断改进 Windows 中的加密和数字证书处理方面提供更新。 Microsoft 将继续通过此公告宣布其他更新，这些更新旨在增强 Windows 加密和证书处理基础结构，以应对不断演变的威胁环境。

可用汇报和发行说明

2013 年 11 月 12 日发布的更新：

• Microsoft 发布了 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT 的所有受支持版本的更新（2868725），以解决 RC4 中的已知弱点。 此更新通过自动更新和所有受影响的软件的 Microsoft 更新 服务提供。 该更新也可以在 下载中心 以及除 Windows RT 以外的所有受影响的软件的 Microsoft 更新目录 上使用。 此更新支持通过注册表设置删除 RC4 作为受影响系统上的可用密码。 它还允许开发人员通过使用SCHANNEL_CRED结构中的SCH_U标准版_STRONG_CRYPTO标志在单个应用程序中删除 RC4。 默认情况下不启用这些选项。 应用更新后，Microsoft 建议客户在环境中实施 RC4 之前测试任何用于禁用 RC4 的新设置。 有关详细信息，请参阅 Microsoft 安全公告2868725。
• Microsoft 宣布对 Microsoft 根证书计划进行策略更改，以弃用 X.509 数字证书中的 SHA-1 哈希算法。 新策略将不再允许根证书颁发机构使用 SHA-1 哈希算法颁发 X.509 证书，以便在 2016 年 1 月 1 日之后进行 SSL 和代码签名。 Microsoft 建议客户尽早将 SHA-1 证书替换为 SHA-2 证书。 有关详细信息，请参阅 Microsoft 安全公告2880823。

2013 年 8 月 13 日发布的更新：

• Microsoft 发布了 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT 的所有受支持版本的更新（2862966）。 此更新通过自动更新和所有受影响的软件的 Microsoft 更新 服务提供。 该更新也可以在 下载中心 以及 除 Windows RT 以外的所有受影响的软件的 Microsoft 更新目录 上使用。 此更新提供了一个框架，可帮助改进在 Microsoft Windows 中使用特定加密和哈希算法的证书的管理。 此更新本身不会限制证书的使用，但可能是以后限制证书使用的先决条件。 有关详细信息以及客户在安装此更新时可能会遇到的当前已知问题，请参阅 Microsoft 知识库文章2862966。
• Microsoft 发布了 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT 的所有受支持版本的更新（2862973）。 目前，只有下载 中心和Microsoft 更新目录 可用于除 Windows RT 以外的所有受影响的软件。 此更新限制将证书与 MD5 哈希一起使用。 有关详细信息，请参阅 Microsoft 安全公告2862973。 2862966更新是此更新的先决条件。

2013 年 6 月 11 日发布的更新：

• Microsoft 发布了 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT 的所有受支持版本的更新（2813430）。 该更新在 下载中心 以及 除 Windows RT 以外的所有受影响的软件的 Microsoft 更新目录 上可用。 它还通过自动更新和 Microsoft 更新 服务提供。 Windows RT 的更新可通过Windows 更新获取。 通过更新，管理员无需访问Windows 更新站点即可更新受信任和不允许的 CCL。 有关详细信息，请参阅 Microsoft 知识库文章2813430。

常见问题

什么是证书信任列表（CTL）？
签名邮件的收件人与邮件的签名者之间必须存在信任。 建立此信任的一种方法是通过证书，一个电子文档，用于验证实体或人员是否属于他们声称。 证书由其他两方信任的第三方颁发给实体。 因此，签名邮件的每个收件人都决定签名者的证书颁发者是否可信。 CryptoAPI 实现了一种方法，允许应用程序开发人员创建应用程序，以针对受信任的证书或根的预定义列表自动验证证书。 此受信任实体列表（称为使用者）称为证书信任列表（CTL）。 有关详细信息，请参阅 MSDN 文章“ 证书信任验证”。

什么是数字证书？
在 公钥加密中，密钥之一（称为私钥）必须保密。 另一个密钥（称为公钥）旨在与世界共享。 但是，密钥所有者必须有办法告诉世界密钥属于谁。 数字证书 提供了执行此操作的方法。 数字证书是用于认证个人、组织和计算机的联机标识的电子凭据。 数字证书包含一个公钥，其中包含有关它的信息 -- 谁拥有它，它可用于什么，何时过期，等等。

数字证书的用途是什么？
数字证书主要用于验证人员或设备的标识、对服务进行身份验证或加密文件。 通常无需考虑证书。 但是，你可能会看到一条消息，告知证书已过期或无效。 在这种情况下，应按照消息中的说明进行操作。

什么是证书颁发机构（CA）？
证书颁发机构是颁发证书的组织。 他们建立并验证属于人员或其他证书颁发机构的公钥的真实性，并验证要求证书的人员或组织的身份。

其他信息

反馈

• 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。

支持

• 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关可用支持选项的详细信息，请参阅 Microsoft 帮助和支持。
• 国际客户可以从其本地 Microsoft 子公司获得支持。 有关如何联系 Microsoft 以获取国际支持问题的详细信息，请访问 国际支持。
• Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。

免责声明

此公告中提供的信息“按原样”提供，没有任何担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修订

• V1.0（2013 年 6 月 11 日）：已发布公告。
• V1.1（2013 年 8 月 13 日）：向“可用汇报和发行说明”部分添加了2862966和2862973更新。
• V1.2（2013 年 8 月 27 日）：修订公告，宣布可从 Microsoft 更新目录获取2862973更新。
• V1.3（2013 年 11 月 12 日）：向“可用汇报和发行说明”部分添加了2868725更新和根证书策略公告。

生成于 2014-04-18T13：49：36Z-07：00