Sept. 2012

9 ANS 以及有关证书的重要消息

 

在准备 9 月的两个安全更新的同时,我们还要提醒您有关包含在安全通报 2661254最小证书
密钥长度的更新)中的一项 Windows 证书要求的重要更改。 我们从 6 月开始通知此项更改,
通过将在公钥基本结构” (PKI) 中使用的证书要求提升至最小长度为 1024 位的 RSA 密钥,它将
帮助提高跨 Windows 平台的安全性。 作为正在进行的 Microsoft 安全工作评估和改善的一部分,
通过提高对证书要求的限制,我们旨在为所有人创造一个更安全、更值得信任的 Internet

许多客户已经了解到,安全通报 2661254 最初在 8 月的下载中心以及 Microsoft Update 目录提供,计划在 2012 10 月通过 Windows Update ���布。为帮助确保所有客户都已为该更新
作好准备,我们将在发布此要求更改之前,通过 10 月的每月公告重申这些通知。9. 尽管许多客户
已经不再使用此类证书,他们仍然想借此机会检查一下他们的资产库存” - 特别是检查那些被丢
弃在一旁落满灰尘与蛛网的系统和应用程序,因为它们其实还能使用,只是已经没有理由时不时地再拿出来检查一番了。

如果客户发现自己正在使用长度少于 1024 位的 RSA 密钥证书,将会要求重新发布至少拥有 1024 位的密钥长度的证书。 (而且 1024 位被视为最小长度,最新的安全做法推荐使用 2048 位或更长
的长度。)我们推荐您利用安全通报 2661254 中所提供的信息对您的环境进行评估,并且您的
组织应在十月份之前了解并准备好解决任何已知问题

客户在应用此更新之后可能会遇到的一些已知问题包括:

  • ·         浏览少于 1024 位的密钥的 SSL 证书的网站时出现错误消息
  • ·         证书请求尝试使用少于 1024 位的密钥时出现证书注册问题
  • ·         创建或处理使用少于 1024 位的密钥进行签名或加密的电子 (S/MIME) 邮件时遇到困难
  • ·         安装使用少于 1024 位的签名进行签名的 Active X 控件时遇到困难
  • ·         安装使用少于 1024 位的签名进行签名的应用程序时遇到的困难(在 2010 1 1 日之前
    已签名的应用程序除外, 这些应用程序在默认情况下不会被阻止)

我们不断通过内部以及行业协作寻找提高公司安全性的方法,并不断致力于帮助人们远离已知与未知的威胁。 此次对证书密钥长度要求的更新即是另一项将会帮助增强 Windows 生态系统的纵深防御措施。

我们将会这个月的 9 预先通知服务通知中发布。9 月将是安全更新历史上备受瞩目的一个月。
本月,我们有两个重量级公告,可以解决 Visual Studio Team Foundation ServerSystem Center Configuration Manager 以及 System Center Operations Manager 中的两个问题。按照惯例,公告
计划于本月的第二个星期二,即 2012 9 11 日, 约太平洋时间 上午 10 点进行发布。

了解所有最新信息,您还可以在 Twitter 上关注 MSRC 团队 @MSFTSecResponse

Thanks,
Angela Gunn
Sr. Response Communications Manager
Microsoft Trustworthy Computing