Sept. 2012

Сентябрьское объявление Системы предварительных уведомлений (ANS) и важная информация о планируемых изменениях, касающихся сертификатов

 

В связи запланированным выпуском двух обновлений безопасности в сентябре этого года мы хотели бы напомнить о важном изменении в требованиях к сертификатам Windows, описанном в Сборнике советов по безопасности 2661254 (Обновление для минимальной длины ключа сертификата). Распространение информации об этом изменении началось еще в июне. Целью обновления является повышение уровня безопасности платформы Windows за счет ужесточения требований к сертификатам, используемым в инфраструктуре открытых ключей (PKI), и установления минимально допустимой длины ключа RSA (1024 бита). Ужесточение требований к сертификатам является частью непрерывной работы по оценке усилий Майкрософт в сфере обеспечения безопасности и введению новых усовершенствований. Итогом этой работы станет формирование более безопасного и надежного Интернет-пространства для всех пользователей.

 

Многие из вас уже знают, что Сборник советов по безопасности 2661254 первоначально был опубликован в августе в Центре загрузки и Каталоге Центра обновления Майкрософт. Дальнейшее распространение этого Сборника советов по безопасности через Центр обновления Windows запланировано на октябрь 2012 г. Перед внедрением новых требований с очередным ежемесячным выпуском бюллетеней в октябре мы хотим убедиться в том, что все пользователи подготовлены к обновлению, и публикуем повторные уведомления. 9. Несмотря на то, что многие пользователи уже отказались от использования слабых сертификатов, многие из них наверняка захотят воспользоваться возможностью и проверить перечни ресурсов, в частности, редко используемых систем и приложений, которые еще работают, но давно не подвергались проверке.

 

Если в результате пользовательской проверки будут выявлены сертификаты с длиной ключа RSA менее 1024 бит, эти сертификаты потребуется выпустить повторно с длиной ключа 1024 бит и более. (1024 считается минимально допустимым значением; наиболее современные практики обеспечения безопасности рекомендуют использовать сертификаты с длиной ключа 2048 бит и более.) Мы рекомендуем вам провести проверку рабочих сред с использованием информации, приведенной в Сборнике советов по безопасности 2661254, в срок до октября этого года и убедиться в том, что сотрудники вашей организации ознакомлены с известными проблемами и готовы к их решению.

 

В список известных проблем, с которыми пользователи могут столкнуться при применении этого обновления, входят следующие:

  • ·         Сообщения об ошибках при просмотре веб-сайтов, имеющих SSL-сертификаты с длиной ключа менее 1024 бит
  • ·         Проблемы при подаче заявки на сертификат, когда запрос на сертификат пытается использовать ключ длиной менее 1024 бит
  • ·         Затруднения при создании или потреблении сообщений электронной почты (S/MIME), использующих ключи длиной менее 1024 бит для подписи или шифрования
  • ·         Затруднения при установке элементов управления Active X с размером подписей менее 1024 бит
  • ·         Затруднения при установке приложений с размером подписей менее 1024 бит (кроме приложений, подписанных до 1 января 2010 г.; эти приложения по умолчанию не блокируются)

 

Мы постоянно ищем новые способы повышения уровня безопасности компании, как посредством внутренних мер, так и посредством отраслевого взаимодействия, и прилагаем максимум усилий, чтобы оградить пользователей от уже известных и еще не изученных угроз. Это обновление для минимальной длины ключа сертификата является еще одной мерой обеспечения более тщательной защиты, которая поможет укрепить экосистему Windows.

 

Перейдем к сентябрьскому объявлению нашей Системы предварительных уведомлений за текущий месяц. Исторически сложилось так, что сентябрь всегда был легким месяцем с точки зрения обновлений безопасности, и в этом месяце мы выпускаем два важных бюллетеня по безопасности, описывающих уязвимости Visual Studio Team Foundation Server и System Center Configuration Manager. Как обычно, бюллетени будут опубликованы во второй вторник месяца, 11 сентября 2012 г., примерно в 10 утра (по тихоокеанскому времени).

 

Следите за последними новостями команды MSRC в Твиттере @MSFTSecResponse.

 

Благодарим за внимание.
Анжела Ганн
Пресс-секретарь Майкрософт
в блоге Microsoft Trustworthy Computing и MSRC