Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Vyřazení SHA-1 pro certifikáty SSL/TLS v Microsoft Edgi a Internet Exploreru 11
Publikováno: 9. května 2017
Verze: 1.0
Shrnutí
Od 9. května 2017 společnost Microsoft vydala aktualizace pro Microsoft Edge a Internet Explorer 11, které blokují weby chráněné certifikátem SHA-1 před načtením a zobrazením upozornění na neplatný certifikát. Tato změna ovlivní pouze certifikáty SHA-1, které jsou zřetězený do kořenového adresáře v programu Microsoft Trusted Root Program, kde certifikát koncové entity nebo vydávající zprostředkující certifikát používá sha-1. Certifikáty SHA-1 podepsané svým držitelem nebudou ovlivněny, i když doporučujeme, aby všichni zákazníci rychle migrovali na certifikáty založené na SHA-2. Další informace naleznete v tématu Windows Enforcement of SHA1 Certificates.
Další informace naleznete v článku znalostní báze Microsoft Knowledge Base 4010323.
Podrobnosti o poradci
Odkazy na problém
Další informace o tomto problému najdete v následujících odkazech:
| Odkazy | Odkazy |
|---|---|
| Obecné informace | Vynucení certifikátů SHA1 ve Windows |
| \ | Odpočítávání vyřazení SHA-1 |
| Technické požadavky | Ochrana proti slabým kryptografickým algoritmům |
Ovlivněný software
Toto doporučení platí pro následující operační systémy:
| Windows 7 |
|---|
| Windows 7 pro 32bitové systémy Service Pack 1 |
| Windows 7 pro systémy založené na platformě x64 Service Pack 1 |
| Windows Server 2008 R2 |
| Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 |
| Windows Server 2008 R2 pro počítače s procesorem Itanium Service Pack 1 |
| Windows 8.1 |
| Windows 8.1 pro 32bitové systémy |
| Windows 8.1 pro systémy založené na platformě x64 |
| Windows Server 2012 R2 |
| Windows Server 2012 R2 |
| Windows 10 |
| Windows 10 pro 32bitové systémy |
| Windows 10 pro systémy založené na platformě x64 |
| Windows 10 verze 1511 pro 32bitové systémy |
| Windows 10 verze 1511 pro systémy založené na platformě x64 |
| Windows 10 verze 1607 pro 32bitové systémy |
| Windows 10 verze 1607 pro systémy založené na platformě x64 |
| Windows Server 2016 |
| Windows Server 2016 pro systémy založené na platformě x64 |
| Možnost instalace jádra serveru |
| Windows Server 2008 R2 pro systémy s procesorem x64 (instalace jádra serveru) |
| Windows Server 2012 R2 (instalace jádra serveru) |
| Windows Server 2016 pro systémy založené na platformě x64 (instalace jádra serveru) |
Nejčastější dotazy k poradenství
Jaký je rozsah poradenství?
Cílem tohoto poradenství je pomoct zákazníkům při posuzování rizika některých aplikací, které používají digitální certifikáty X.509 podepsané pomocí algoritmu hash SHA-1, a doporučit správcům a certifikačním autoritě používat sha-2 místo SHA-1 jako algoritmus pro podepisování digitálních certifikátů.
Jedná se o ohrožení zabezpečení, které vyžaduje, aby společnost Microsoft vydala aktualizaci zabezpečení?
Ne. Microsoft doporučuje, aby všichni zákazníci migrovali na SHA-2 a použití ALGORITMU SHA-1 jako algoritmu hash pro účely podepisování se nedoporučuje a už se nejedná o osvědčený postup. I když se nejedná o ohrožení zabezpečení v produktu Microsoftu, společnost Microsoft vydává toto poradenství, aby pomohla objasnit skutečné riziko, které se týká zákazníků.
Co způsobuje tuto hrozbu?
Hlavní příčinou problému je známá slabina algoritmu hash SHA-1, který ho vystavuje útokům na kolize. Takové útoky by mohly útočníkovi umožnit vygenerovat další certifikáty, které mají stejný digitální podpis jako původní. Použití certifikátů SHA-1 pro konkrétní účely, které vyžadují odolnost proti těmto útokům, se nedoporučuje. V Microsoftu vyžaduje životní cyklus vývoje zabezpečení, aby společnost Microsoft přestala používat algoritmus hash SHA-1 jako výchozí v softwaru Microsoftu. Další informace o slabině kolizí SHA-1 najdete v tématu SHAttered: První kolize pro úplné SHA-1.
Co je digitální certifikát?
V kryptografii veřejného klíče musí být jeden z klíčů, označovaný jako privátní klíč, tajný klíč. Druhý klíč, označovaný jako veřejný klíč, má být sdílen se světem. Musí však existovat způsob, jak vlastník klíče říct světu, komu klíč patří. Digitální certifikáty poskytují způsob, jak to udělat. Digitální certifikát je elektronické přihlašovací údaje používané k certifikaci online identit jednotlivců, organizací a počítačů. Digitální certifikáty obsahují veřejný klíč zabalený společně s informacemi o tom, kdo ho vlastní, k čemu se dá použít, kdy vyprší platnost atd. Další informace naleznete v tématu Principy digitálních certifikátů.
Jaký je účel digitálního certifikátu?
Digitální certifikáty se používají především k ověření identity osoby nebo zařízení, ověření služby nebo šifrování souborů. Za normálních okolností není nutné myslet na certifikáty, a to kromě občasné zprávy s informací, že platnost certifikátu vypršela nebo je neplatná. V takových případech by měl postupovat podle pokynů uvedených ve zprávě.
Co je certifikační autorita (CA)?
Certifikační autority jsou organizace, které vydávají certifikáty. Zřídí a ověří pravost veřejných klíčů, které patří lidem nebo jiným certifikačním autoritám, a ověří identitu osoby nebo organizace, která žádá o certifikát.
Navrhované akce
Kontrola změn zásad důvěryhodného kořenového programu společnosti Microsoft
Zákazníci, kteří se zajímají o další informace o tématu popsaném v tomto poradci, by měli zkontrolovat vynucování certifikátů SHA1 systému Windows.Aktualizace z SHA-1 na SHA-2
Certifikační autority byly od ledna 2016 zakázány vydávání nových certifikátů SHA-1. Zákazníci by měli zajistit, aby jejich certifikační autority používaly algoritmus hash SHA-2 k získání certifikátů SHA-2 od svých certifikačních autorit. Pokud chcete podepisovat kód pomocí certifikátů SHA-2, přečtěte si pokyny k tomuto tématu v tématu Vynucení certifikátů SHA1 systému Windows.Dopad akce: Starší hardwarová řešení mohou vyžadovat upgrade, aby podporovala tyto novější technologie.
Zachovat služba Windows Update d
Všichni uživatelé Systému Windows by měli použít nejnovější aktualizace zabezpečení společnosti Microsoft, aby zajistili, že jsou jejich počítače co nejvíce chráněné. Pokud si nejste jistí, jestli je váš software aktuální, navštivte služba Windows Update, vyhledejte v počítači dostupné aktualizace a nainstalujte všechny nabízené aktualizace s vysokou prioritou. Pokud máte povolenou automatickou Aktualizace, aktualizace se vám po vydání doručí, ale musíte je nainstalovat.
Další informace
Váš názor
- Zpětnou vazbu můžete poskytnout vyplněním formuláře nápovědy a podpory Microsoftu, kontaktujte nás oddělení služeb zákazníkům.
Technická podpora
- Zákazníci v USA a Kanadě můžou získat technickou podporu od podpory zabezpečení. Další informace naleznete v nápovědě a podpoře společnosti Microsoft.
- Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace naleznete v tématu Mezinárodní podpora.
- Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Microsoftu.
Právní doložka
Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize
- V1.0 (9. května 2017): Publikováno poradce.
Stránka vygenerovaná 2017-05-08 17:41-07:00.