Sept. 2012

Servicio de notificación de avance de boletín de septiembre y aviso importante sobre los certificados

 

Mientras nos preparamos para las dos actualizaciones de seguridad de septiembre, nos gustaría recordarle un cambio importante en los requisitos de certificado de Windows que se incluye en el documento informativo sobre seguridad 2661254 (Actualización para la longitud mínima de clave de certificado). En junio empezamos a informar de este cambio que ayudará a mejorar la seguridad de la plataforma Windows al aumentar los requisitos de seguridad de los certificados que se utilizan en una infraestructura de clave pública (PKI) estableciendo el uso de una clave RSA de una longitud mínima de 1024 bits. Con esta mayor exigencia en esta materia y como parte de nuestro trabajo continuo por evaluar los esfuerzos de seguridad de Microsoft y realizar mejoras, esperamos contribuir a que Internet sea más seguro y confiable para todos.

 

De todos es sabido que el documento informativo sobre seguridad 2661254 está disponible desde agosto en Download Center y el Catálogo de Microsoft Update, con previsión de distribuirse por Windows Update en octubre de 2012. Para garantizar que todos nuestros clientes están estén preparados para esta actualización, reiteramos este anuncio antes de publicar el cambio en los requisitos en nuestro boletín mensual de octubre. 9. Pese a que muchos de nuestros clientes ya han realizado el cambio, para algunos puede suponer la posibilidad de revisar sus inventarios de activos, principalmente para examinar esos sistemas y aplicaciones que han quedado en el olvido porque "aún funcionan" y hace tiempo que no surge ningún motivo para revisarlos.

 

Aquellos que detecten que utilizan certificados con longitudes de clave RSA inferiores a 1024 bits, deberán volver a emitir tales certificados con una longitud de clave de al menos 1024 bits. (1024 debería considerarse la longitud mínima. Las prácticas de seguridad más actualizadas recomiendan 2048 bits o mejor, incluso más). Le recomendamos que evalúe sus entornos con la información incluida en el documento informativo sobre seguridad 2661254 y que su organización esté al tanto y preparada para resolver cualquier problema conocido antes de octubre.

 

Entre los problemas conocidos a los que se pueden enfrentar los clientes después de aplicar esta actualización se encuentran:

  • ·         Mensajes de error al navegar por sitios web con certificados SSL con claves de longitud inferiores a 1024 bits.
  • ·         Problemas al pedir certificados si la solicitud de certificado intenta utilizar una clave de menos de 1024 bits.
  • ·         Complicaciones al crear o usar mensajes de correo electrónico (S/MIME) que utilicen claves de menos de 1024 bits para firmas o cifrado.
  • ·         Complicaciones al instalar controles Active X que se firmaran con firmas de menos de 1024 bits.
  • ·         Complicaciones al instalar aplicaciones que s se firmaran con firmas de menos 1024 bits (a no ser que se firmaran antes del 1 de enero de 2010, en cuyo caso no se bloquean de forma predeterminada).

 

Nuestra constante búsqueda, tanto de forma interna como mediante la colaboración con el sector, de nuevas formas de mejorar la seguridad de la empresa es continua, en un esfuerzo por contribuir a la seguridad de las personas frente a amenazas conocidas o desconocidas. Esta actualización de los requisitos de longitud de clave de certificado no es más que otra medida de defensa en profundidad que contribuirá a fortalecer el ecosistema Windows.

 

Continuación del anuncio del servicio de notificación de avance del boletín de septiembre para este mes. Septiembre siempre ha sido un mes tranquilo en cuanto a actualizaciones de seguridad; este mes tenemos dos boletines de bastante importancia sobre dos problemas en Visual Studio Team Foundation Server y System Center Configuration Manager. Como viene siendo habitual, el boletín se publica el segundo martes de cada mes, en este caso el 11 de septiembre de 2012, aproximadamente a las 10:00 a. m. hora de verano del Pacífico (PDT).

 

Para consultar la información más reciente, también puede seguir al equipo MSRC en Twitter: @MSFTSecResponse.

 

Saludos cordiales,
Angela Gunn
Sr.  Response Communications Manager
Microsoft Trustworthy Computing