Sept. 2012

ANS di settembre e un importante annuncio riguardante i certificati

 

In attesa dei due aggiornamenti per la protezione del mese di settembre, Microsoft segnala un'importante modifica ai requisiti dei certificati di Windows contenuta nell'Advisory sulla sicurezza 2661254 (aggiornamento relativo alla lunghezza minima della chiave del certificato). Nel mese di giugno, Microsoft ha iniziato a divulgare questa modifica che consente di migliorare la protezione nelle piattaforme Windows grazie all'incremento dei requisiti dei certificati utilizzati nell'infrastruttura a chiave pubblica (PKI, Public Key Infrastructure) a una lunghezza minima di 1024 bit per la chiave RSA. L'incremento della soglia dei requisiti dei certificati, come parte del costante impegno di Microsoft nel migliorare la sicurezza, ha come obiettivo quello di creare una rete Internet più affidabile e sicura per tutti gli utenti.

 

Come molti di voi già sapranno, l'Advisory sulla sicurezza 2661254 è stato inizialmente reso disponibile in agosto tramite l'Area download e il Microsoft Update Catalog. La distribuzione tramite Windows Update è prevista per ottobre 2012. Per essere certi che tutti i clienti siano pronti per l'aggiornamento, è stato deciso di reiterare questi annunci prima del rilascio della modifica dei requisiti nei bollettini mensili di ottobre. 9. Sebbene molti abbiano già abbandonato l'uso di questi certificati, i clienti potranno approfittare dell'aggiornamento per rivedere i propri inventari ed esaminare in particolare quelle applicazioni e quei sistemi messi da parte in quanto ancora funzionanti ma non utilizzati da tempo.

 

Per coloro che utilizzano certificati con chiavi RSA inferiori a 1024 bit, sarà necessario richiedere gli stessi certificati con chiavi di lunghezza di almeno 1024 bit (1024 deve essere considerata la lunghezza minima; le procedure di sicurezza più aggiornate consigliano 2048 bit o anche di più). Si consiglia di analizzare gli ambienti in uso tenendo conto delle informazioni fornite nell'Advisory sulla sicurezza 2661254 per far sì che l'organizzazione sia pronta a risolvere tutti gli eventuali problemi noti prima di ottobre.

 

Alcuni dei problemi noti che i clienti possono riscontrare dopo l'applicazione del presente aggiornamento sono:

  • ·         Messaggi di errore durante la consultazione di siti Web che utilizzano certificati SSL con chiavi inferiori a 1024 bit
  • ·         Problemi durante la registrazione dei certificati quando una richiesta di certificato tenta di utilizzare una chiave inferiore a 1024 bit
  • ·         Problemi durante la creazione o l'utilizzo di messaggi e-mail (S/MIME) che utilizzano chiavi di lunghezza inferiore a 1024 bit per le firme o la crittografia
  • ·         Problemi durante l'installazione dei controlli Active X che utilizzano firme di lunghezza inferiore a 1024 bit
  • ·         Problemi durante l'installazione di applicazioni che utilizzano firme di lunghezza inferiore a 1024 bit (salvo per le firme precedenti al 1° gennaio 2010, che non verranno bloccate per impostazione predefinita)

 

Microsoft si impegna costantemente nella ricerca di nuovi metodi per migliorare la sicurezza dell'azienda, sia internamente che tramite iniziative di collaborazione del settore, nel tentativo di salvaguardare i clienti da minacce note e sconosciute. Il presente aggiornamento dei requisiti della lunghezza della chiave di certificato costituisce pertanto un'ulteriore misura difensiva che consente di rafforzare l'ecosistema Windows.

 

Reso disponibile a partire dall'annuncio tramite Notifica anticipata relativa al rilascio di bollettini di settembre. Settembre è da sempre un mese cruciale per gli aggiornamenti per la protezione e proprio in questo mese sono disponibili due importanti bollettini che risolvono due problemi di Visual Studio Team Foundation Server e System Center Configuration Manager. Come di consueto, la versione del bollettino è pianificata per il secondo martedì del mese, 11 settembre 2012, alle 10.00 circa PDT.

 

Per ottenere tutte le informazioni più recenti, è anche possibile seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse.

 

Cordiali saluti,
Angela Gunn
Sr. Response Communications Manager
Microsoft Trustworthy Computing