Sept. 2012

9 ANS 與關於憑證的重要提醒

 

在我們準備 9 月份兩項資訊安全更新的同時,我們要提醒您資訊安全摘要報告 2661254 中,關於 Windows 憑證要求變更的重要事項 (更新憑證金鑰長度下限)。我們從 6 月開始溝通此項將協助
改善 Windows 平台資訊安全的變更,作法是將應用在公開金鑰基礎結構 (PKI) 的憑證要求提高至
最少 1024 位元的 RSA 金鑰長度。 作為我們當前評估和改善 Microsoft 資訊安全工作的一部份,
我們希望藉由提高對憑證要求的限制,協助每個人建立一個更安全且更可信任的網路。

 

如同很多人所知,資訊安全摘要報告 2661254 8 月起可從下載中心 Microsoft Update Catalog 下載,另外也會透過 2012 10 月的 Windows Update 發布。為了確保所有客戶都有更新的準備,
10 9 日的公告正式宣布這項憑證要求的變更之前,我們決定再次重申這些公告事項。9. 儘管
許多客戶已經不再使用上述憑證,客戶仍會想要藉由這樣的機會檢視他們的資產目錄,特別是那些被束諸高閣的系統和應用程式,因為它們「仍然有用」,而且已經有一段時間沒有機會被檢視。

 

客戶若使用少於 1024 位元 RSA 金鑰長度的憑證,則這些憑證會被要求以至少 1024 位元的金鑰
長度重新簽發 (順帶一提,1024 應該被視為長度下限,最新的資訊安全實務建議採用 2048 位元
或更佳)。我們建議您參閱資訊安全摘要報告 2661254 中的資訊評估您的環境,且確保貴公司在
10
月前能發現並準備解決任何
已知問題

 

客戶在套用此更新後可能會遇到的已知問題包括:

  • ·         瀏覽使用 SSL 憑證之金鑰長度少於 1024 位元的網站時,出現錯誤訊息
  • ·         當憑證要求嘗試使用少於 1024 位元的金鑰時,出現問題
  • ·         難以建立或讀取使用少於 1024 位元之金鑰簽章或加密的電子郵件 (S/MIME) 訊息
  • ·         難以安裝數位簽章少於 1024 位元的 ActiveX 控制項
  • ·         難以安裝數位簽章少於 1024 位元的應用程式 (2010 1 1 日之前加入簽章的應用程式,預設不會被封鎖)

 

透過內部努力和企業合作,我們一直在尋找改善公司資訊安全的方法,持續努力協助使用者免於遭受已知和未知的威脅。 這項憑證金鑰長度要求的更新,又是一項協助強化 Windows 生態系統
深度防禦的措施。

 

繼續看到我們這個月的 9 預先通知服務公告。9 月一向是資訊安全更新規模較小的月份,
而這個月我們有兩項等級為「重要」的公告,處理 Visual Studio Team Foundation Server
System Center Configuration Manager
的兩個問題。 如同往常,此公告預定在 9 月第二個星期二 (2012 9 11 ) 的美國太平洋日光節約時間早上 10 點左右發布。

 

如需最新資訊,您也可以 Twitter 上訂閱 @MSFTSecResponse 關注 MSRC 團隊。

 

謝謝,
Angela Gunn
資深回應溝通經理
Microsoft 高可信度電腦運算部門