Microsoft 資訊安全諮詢2854544

更新改善 Windows 中的密碼編譯和數位證書處理

發佈時間： 2013 年 6 月 11 日 |更新日期：2013 年 11 月 12 日

版本： 1.3

一般資訊

執行摘要

Microsoft 正在宣佈更新可用性，作為改善 Windows 中密碼編譯和數位證書處理的持續努力的一部分。 Microsoft 將繼續透過此諮詢宣佈其他更新，這些更新全都旨在支援 Windows 密碼編譯和憑證處理基礎結構，以響應不斷演變的威脅環境。

可用的更新和版本資訊

2013 年 11 月 12 日發行的更新：

Microsoft 針對所有支援的 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT 版本發行了更新（2868725），以解決 RC4 中的已知弱點。此更新是透過自動更新，以及透過所有受影響軟體的 Microsoft Update 服務提供。除了 Windows RT 以外，下載中心以及所有受影響軟體的 Microsoft Update 目錄，也提供更新。此更新支援透過登錄設定，將 RC4 移除為受影響系統上的可用加密。它也允許開發人員透過在SCHANNEL_CRED結構中使用 SCH_USE_STRONG_CRYPTO 旗標，在個別應用程式中移除 RC4。預設不會啟用這些選項。套用更新之後，Microsoft 建議客戶在環境中實作 RC4 之前，先測試任何新的設定來停用 RC4。如需詳細資訊，請參閱 Microsoft Security Advisory 2868725。
Microsoft 宣佈對 Microsoft 跟證書計劃進行原則變更，以取代 X.509 數字證書中的 SHA-1 哈希演算法。新的原則將不再允許跟證書授權單位針對 2016 年 1 月 1 日之後的 SSL 和程式碼簽署，使用 SHA-1 哈希演算法發出 X.509 憑證。 Microsoft 建議客戶儘早以 SHA-2 憑證取代其 SHA-1 憑證。如需詳細資訊，請參閱 Microsoft Security Advisory 2880823。

2013 年 8 月 13 日發行的更新：

Microsoft 針對所有支援的 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT 版本發行了更新（2862966）。此更新是透過自動更新，以及透過所有受影響軟體的 Microsoft Update 服務提供。除了 Windows RT 以外，下載中心以及所有受影響軟體的 Microsoft Update 目錄，也會提供更新。此更新提供一個架構，可協助改善在 Microsoft Windows 中使用特定密碼編譯和哈希演算法的憑證管理。此更新不會單獨限制憑證的使用，但可能是後續更新的必要條件，這些更新會限制憑證的使用。如需詳細資訊，以及客戶在安裝此更新時可能會遇到的已知問題，請參閱 Microsoft 知識庫文章2862966。
Microsoft 針對所有支援的 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT 版本發行了更新（2862973）。目前，只有下載中心和 Microsoft Update Catalog 提供所有受影響軟體的更新，Windows RT 除外。更新會限制使用具有 MD5 哈希的憑證。如需詳細資訊，請參閱 Microsoft Security Advisory 2862973。 2862966更新是此更新的必要條件。

2013 年 6 月 11 日發行的更新：

Microsoft 針對所有支援的 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT 版本發行了更新（2813430）。除了 Windows RT 以外，下載中心以及所有受影響軟體的 Microsoft Update 目錄，都可以使用更新。它也透過自動更新和透過 Microsoft Update 服務提供。 Windows RT 的更新可透過 Windows Update 取得。此更新可讓系統管理員更新受信任且不允許的 CTL，而不需要存取 Windows Update 網站。如需詳細資訊，請參閱 Microsoft 知識庫文章2813430。

常見問題集

什麼是憑證信任清單（CTL）？
簽署郵件的收件者與郵件的簽署者之間必須存在信任。建立此信任的其中一種方法是透過憑證，一份電子文件，確認實體或人員是他們聲稱身分的。憑證是由其他雙方信任的第三方所簽發給實體。因此，簽署訊息的每個收件者都會決定簽署者憑證的簽發者是否值得信任。 CryptoAPI 已實作方法，可讓應用程式開發人員建立應用程式，以針對預先定義的受信任憑證或根清單自動驗證憑證。此信任實體清單（稱為主體）稱為憑證信任清單（CTL）。如需詳細資訊，請參閱 MSDN 文章憑證信任驗證。

什麼是數字證書？
在公鑰密碼編譯中，其中一個金鑰，稱為私鑰，必須保密。另一個金鑰，稱為公鑰，旨在與世界共用。不過，金鑰擁有者必須有辦法告訴世界密鑰所屬。數位證書提供執行此動作的方法。數位證書是用來認證個人、組織和計算機在線身分識別的電子認證。數位證書包含與相關信息一起封裝的公鑰-擁有者、其用途、到期時間等等。

數位證書的用途為何？
數位證書主要用於驗證人員或裝置的身分識別、驗證服務或加密檔案。通常您完全不需要考慮憑證。不過，您可能會看到一則訊息，告知您憑證已過期或無效。在這種情況下，您應該遵循訊息中的指示。

什麼是證書頒發機構單位（CA）？
證書頒發機構單位是發行憑證的組織。他們會建立並驗證屬於人員或其他證書頒發機構單位的公鑰真實性，並驗證要求憑證的人員或組織身分識別。

其他資訊

Feedback

您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡，以提供意見反應。

支援

美國和加拿大的客戶可以從安全性支援收到技術支援。如需可用支援選項的詳細資訊，請參閱 Microsoft 說明及支援。
國際客戶可以從其當地 Microsoft 子公司獲得支援。如需如何連絡 Microsoft 以取得國際支持問題的詳細資訊，請造訪國際支援。
Microsoft TechNet 安全性提供 Microsoft 產品中安全性的其他資訊。

免責聲明

本諮詢中提供的資訊是「如目前」提供，不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保，包括適銷性及適合特定用途的擔保。任何情況下，Microsoft Corporation 或其供應商都不得承擔任何損害責任，包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害，即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。某些州不允許排除或限制衍生性或附帶性損害的責任，因此可能不適用上述限制。

修訂記錄

V1.0 （2013 年 6 月 11 日）：已發佈諮詢。
V1.1 （2013 年 8 月 13 日）：已將2862966和2862973更新新增至 [可用更新和版本資訊] 區段。
V1.2 （2013 年 8 月 27 日）：已修訂諮詢，宣佈可從 Microsoft Update Catalog 取得2862973更新。
V1.3 （2013 年 11 月 12 日）：已將2868725更新和跟證書原則公告新增至 [可用更新和版本資訊] 區段。

建置於 2014-04-18T13：49：36Z-07：00