Với phạm vi khai thác kỹ thuật số ngày càng tăng, Microsoft xuất hiện với một lời khuyên rằng nó sẽ không còn giải trí giấy chứng nhận kỹ thuật số có độ bền nhỏ hơn 1024 bit. Vào tháng 8 năm 2012, Microsoft đã ban hành một tư vấn bảo mật rằng nó sẽ không hỗ trợ chứng chỉ kỹ thuật số RSA từ ngày 9 tháng 10 năm 2012. Bạn cần phải nâng cấp chứng chỉ số RSA của bạn trước ngày đó, ngày giới hạn để chặn các chứng chỉ yếu (dưới 1024 bit).
Hầu hết các chứng chỉ kỹ thuật số sử dụng thuật toán RSA cho các chứng chỉ được sử dụng với các trang web, để ký và mã hóa các tệp. Sức mạnh của thuật toán RSA dựa trên số bit được sử dụng. Chứng chỉ RSA xác định cá nhân, tổ chức và tệp là xác thực và nguyên bản. Khi được sử dụng với email và các loại tệp dữ liệu khác, chứng chỉ kỹ thuật số RSA cho phép ngăn chặn giả mạo nội dung tệp theo nghĩa là chúng sẽ cảnh báo người dùng trong trường hợp thao tác các tệp gốc. Cho đến nay, hầu hết các cơ quan cấp chứng chỉ (CA) cung cấp các chứng chỉ kỹ thuật số có ít hơn 1024 bit. Do cơ sở khai thác tài sản trực tuyến bị thao túng và khai thác, công ty phần mềm nói rằng các quản trị viên CNTT cao cấp cập nhật chứng chỉ kỹ thuật số RSA của họ để bảo vệ người dùng khỏi bất kỳ loại lỗ hổng nào.
Microsoft cho biết sẽ cung cấp bản cập nhật tự động Ngày 9 tháng 10 năm 2012 sẽ cập nhật hệ điều hành và các sản phẩm khác để không nhận ra các trang web và các mặt hàng sử dụng chứng chỉ kỹ thuật số RSA có độ bền nhỏ hơn 1024 bit. Một số chuyên gia cho rằng quyết định này đã đến sau khi khai thác các hệ điều hành Windows bởi phần mềm độc hại của thích Ngọn lửa vv Những người khác nói rằng Microsoft đã làm việc này từ lâu. Dù là lý do gì, đó là thời gian để loại bỏ chứng chỉ kỹ thuật số của bạn và nâng cấp chúng lên sức mạnh ít nhất 1024 bit. Sức mạnh của chứng chỉ số RSA được đo bằng thời gian thực hiện để giải mã khóa cá nhân của chứng chỉ. Để thực thi bảo vệ tốt hơn, mọi người cần thêm nhiều sức mạnh hơn cho chứng chỉ.
Lưu ý rằng công ty tuyên bố tối thiểu 1024 bit. Để bảo vệ tốt hơn và tránh bất kỳ cập nhật tương tự nào trong tương lai gần, nó khuyến nghị bạn nên tìm điểm mạnh trên 2048 bit.
Điều gì sẽ xảy ra nếu bạn không cập nhật chứng chỉ kỹ thuật số RSA?
Bạn sẽ nhận được thông báo lỗi của loại được hiển thị bên dưới và tệ hơn, các ứng dụng của bạn có thể không hoạt động đúng cách.
Đã xảy ra sự cố với chứng chỉ bảo mật của trang web này
Theo Microsoft Security Advisory, bản cập nhật sẽ không ảnh hưởng đến Windows 8 và Windows 2012 Server vì chúng đã có sẵn tính năng tích hợp để chặn các chứng chỉ RSA yếu có độ dài dưới 1024 bit. Các hệ điều hành và phần mềm khác sẽ được cập nhật vào ngày 9 tháng 10 năm 2012 để hành động phù hợp - để chặn các chứng chỉ RSA yếu. Sau đây là một số vấn đề mà mọi người có thể gặp phải nếu chứng chỉ số RSA không được cập nhật (Như đã đề cập trong bài viết của Microsoft KB 2661254):
- Cơ quan cấp chứng chỉ không thể phát hành chứng chỉ RSA có dưới 1024 bit;
- Quy trình cấp phép chứng nhận (certsvc) sẽ không bắt đầu nếu chứng chỉ số RSA yếu;
- Internet Explorer sẽ chặn quyền truy cập vào các trang web có chứng chỉ kỹ thuật số RSA yếu;
- Outlook 2010 sẽ không thể ký email kỹ thuật số và người dùng sẽ không thể mã hóa email. Nếu email đã được mã hóa bằng chứng chỉ RSA yếu hơn, nó vẫn có thể được giải mã sau khi cập nhật;
- Nếu người dùng nhận được email có chữ ký của chứng chỉ số RSA dưới 1024 bit, họ sẽ nhận được cảnh báo cho biết chứng chỉ không thể tin cậy - gửi tín hiệu về tính độc đáo và tính xác thực của email;
- Outlook sẽ không kết nối với Exchange Server với chứng chỉ RSA nhỏ hơn 1024 bit. Người dùng sẽ thấy cảnh báo cho biết chứng chỉ không thể tin cậy và do đó, đã bị chặn;
- Trong khi cài đặt các sản phẩm mang chứng chỉ RSA yếu, người dùng sẽ nhận được cảnh báo về chứng chỉ sẽ ngăn cản người dùng cài đặt sản phẩm “không đáng tin cậy”;
- Theo lời khuyên, “Các máy tính HP-UX PA-RISC của Trung tâm Hệ thống sử dụng chứng chỉ RSA có chiều dài khóa 512 bit sẽ tạo ra các cảnh báo nhịp tim và tất cả các giám sát hoạt động của các máy tính sẽ không thành công. “Lỗi chứng chỉ SSL” cũng sẽ được tạo với mô tả “xác minh chứng chỉ đã ký.”Bấm vào đây để biết thêm thông tin về máy tính HP UX PA RISC có chiều dài khóa 512 bit.
Nhóm Microsoft TechNet có một cuộc thảo luận về các câu hỏi thường gặp chi tiết và các hành động được đề xuất trên blog của nó.
Cách phát hiện Nếu chứng chỉ RSA yếu
Bài viết KB 2661254 đã đề xuất phương pháp sau đây để kiểm tra xem bạn có giữ bất kỳ chứng chỉ số RSA yếu nào không.
Tất cả chứng chỉ số RSA có thể được mở bằng cách nhấp đúp vào biểu tượng của nó. Thông tin chi tiết về chứng nhận có thể được xem trên tab Chi tiết khi bạn mở chứng chỉ kỹ thuật số. Nên có một trường có nhãn “Khóa công khai” cho biết số lượng bit được chứng chỉ sử dụng.
Có một số phương pháp khác được liệt kê trong bài viết tư vấn KB 2661254. Tôi khuyên bạn cũng nên kiểm tra phương pháp CAPI2. Nó sẽ giúp bạn xác định tất cả các chứng chỉ có độ mạnh mã hóa yếu. Phương pháp này được mô tả trong bài báo KB 2661254 được liên kết ở trên.
Giải pháp để truy cập trang web và chương trình với chứng chỉ kỹ thuật số RSA yếu
Mặc dù đã mạnh mẽ khuyên quản trị viên CNTT nâng cấp chứng chỉ kỹ thuật số RSA của họ với tối thiểu 1024 bit, Microsoft đang cung cấp cách giải quyết để truy cập các trang web và chương trình có chứng chỉ kỹ thuật số yếu. Nó nói rằng có thể mất một thời gian trước khi tất cả quản trị viên có thể cập nhật chứng chỉ của họ và do đó người dùng có thể sử dụng giải pháp được quy định để truy cập chứng chỉ kỹ thuật số RSA yếu ngay cả khi trang web và chương trình đang gia hạn và nâng cấp chứng chỉ của họ. Giải pháp thay thế liên quan đến việc chỉnh sửa Windows Registry. Kiểm tra phần Cho phép độ dài khóa ít hơn 1024 bit bằng cách sử dụng thiết đặt đăng ký theo RESOLUTIONS trong bài viết KB liên kết để tinh chỉnh Windows registry bằng cách sử dụng certutil chỉ huy.
Lưu ý rằng có hai phần: một cho biết RESOLUTIONS (số nhiều) và một cho biết RESOLUTION (số ít). Bạn cần kiểm tra phần RESOLUTIONS (số nhiều) để giải quyết sự cố cho phép các chứng chỉ số RSA yếu tạm thời.
Microsoft đang cung cấp các cập nhật theo phần GIẢI PHÁP của bài viết KB 2661254. Các bản vá này cập nhật hệ thống của bạn để tăng mức mã hóa tối thiểu trong phạm vi hệ điều hành Windows để bạn không gặp phải sự cố khi truy cập chứng chỉ kỹ thuật số RSA mạnh. Kiểm tra hệ điều hành được đề cập đến với các bản vá (bao gồm 32 hoặc 64 bit) trước khi tải xuống để đảm bảo bạn đang tải xuống bản cập nhật chính xác.
Tóm lại, tuổi của các chứng chỉ số RSA 512 bit đã hết. Bạn cần phải chuyển sang những điểm mạnh quan trọng hơn để bảo vệ tốt hơn chống lại việc khai thác dữ liệu của bạn.
