Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I certificati digitali rilasciati in modo non corretto potrebbero consentire lo spoofing
Pubblicato: 10 luglio 2014 | Aggiornamento: 17 luglio 2014
Versione: 2.0
Informazioni generali
Schema riepilogativo
Microsoft è a conoscenza di certificati SSL rilasciati in modo non corretto che possono essere usati nei tentativi di spoofing del contenuto, di eseguire attacchi di phishing o di eseguire attacchi man-in-the-middle. I certificati SSL sono stati rilasciati in modo errato dal National Informatics Centre (NIC), che gestisce ca subordinate sotto le autorità di certificazione radice gestite dal governo dell'India Controller of Certifying Authorities (CCA), che sono CA presenti nell'archivio autorità di certificazione radice attendibili. Questo problema interessa tutte le versioni supportate di Microsoft Windows. Microsoft non è attualmente a conoscenza degli attacchi correlati a questo problema.
L'autorità di certificazione subordinata è stata usata in modo improprio per rilasciare certificati SSL per più siti, incluse le proprietà Web di Google. Questi certificati SSL possono essere usati per spoofing del contenuto, per eseguire attacchi di phishing o per eseguire attacchi man-in-the-middle contro le proprietà Web. Le ca subordinate possono anche essere state usate per rilasciare certificati per altri siti attualmente sconosciuti, che potrebbero essere soggetti a attacchi simili.
Per proteggere i clienti dall'uso potenzialmente fraudolento di questo certificato digitale, Microsoft sta aggiornando l'elenco certificati attendibili (CTL) per tutte le versioni supportate di Microsoft Windows per rimuovere l'attendibilità dei certificati che causano questo problema. Per altre informazioni su questi certificati, vedere la sezione Domande frequenti di questo avviso.
Elemento consigliato. Un aggiornamento automatico dei certificati revocati è incluso nelle edizioni supportate di Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 e Windows Server 2012 R2 e per i dispositivi che eseguono Windows Telefono 8 o Windows Telefono 8.1. Per questi sistemi operativi o dispositivi, i clienti non devono eseguire alcuna azione perché il CTL verrà aggiornato automaticamente.
Per i sistemi che eseguono Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 che usano l'aggiornamento automatico dei certificati revocati (vedere l'articolo della Microsoft Knowledge Base 2677070 per informazioni dettagliate), i clienti non devono eseguire alcuna azione perché il CTL verrà aggiornato automaticamente.
Per i sistemi che eseguono Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 e che non dispongono dell'aggiornamento automatico dei certificati revocati, questo aggiornamento non è disponibile. Per ricevere questo aggiornamento, i clienti devono installare l'aggiornamento automatico dei certificati revocati (vedere l'articolo della Microsoft Knowledge Base 2677070 per informazioni dettagliate). I clienti in ambienti disconnessi e che eseguono Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 possono installare l'aggiornamento 2813430 per ricevere questo aggiornamento (vedere l'articolo della Microsoft Knowledge Base 2813430 per informazioni dettagliate).
Per i clienti che eseguono Windows Server 2003, Microsoft consiglia di applicare immediatamente l'aggiornamento 2982792 usando il software di gestione degli aggiornamenti, controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update o scaricando e applicando l'aggiornamento manualmente. Per altre informazioni, vedere la sezione Azioni suggerite di questo avviso.
Dettagli avviso
Riferimenti ai problemi
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
| Riferimenti | Identificazione |
|---|---|
| Articolo della Microsoft Knowledge Base | 2982792 |
Software interessato
Questo avviso illustra il software seguente.
| Software interessato |
|---|
| Sistema operativo |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 con SP2 per sistemi basati su Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 |
| Windows Server 2008 per sistemi basati su Itanium Service Pack 2 |
| Windows 7 per sistemi a 32 bit Service Pack 1 |
| Windows 7 per sistemi basati su x64 Service Pack 1 |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 |
| Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 |
| Windows 8 per sistemi a 32 bit |
| Windows 8 per sistemi basati su x64 |
| Windows 8.1 per sistemi a 32 bit |
| Windows 8.1 per sistemi basati su x64 |
| Windows RT |
| Windows RT 8.1 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Opzione di installazione dei componenti di base del server |
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione server core) |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione server core) |
| Windows Server 2008 R2 per sistemi basati su x64 (installazione Server Core) |
| Windows Server 2012 (installazione server core) |
| Windows Server 2012 R2 (installazione di Server Core) |
| Dispositivi interessati |
| Windows Phone 8 |
| Windows Phone 8.1 |
Domande frequenti sugli avvisi
Perché questo avviso è stato aggiornato il 17 luglio 2014?
L'avviso è stato aggiornato il 17 luglio 2014 per annunciare la disponibilità dell'aggiornamento 2982792 per le edizioni supportate di Windows Server 2003. Per altre informazioni, vedere la sezione Azioni suggerite di questo avviso.
Qual è l'ambito dell'avviso?
Lo scopo di questo avviso è informare i clienti che il National Informatics Centre (NIC) ha rilasciato in modo improprio certificati SSL per più siti, incluse le proprietà Web di Google. Questi certificati SSL possono essere usati per spoofing del contenuto, per eseguire attacchi di phishing o per eseguire attacchi man-in-the-middle contro le proprietà Web. La CA subordinata può anche essere stata usata per rilasciare certificati per altri siti attualmente sconosciuti, che potrebbero essere soggetti a attacchi simili.
Cosa ha causato il problema?
Un certificato CA subordinato è stato emesso in modo non corretto dal National Informatics Centre (NIC), subordinato al governo della CA india, che è una CA presente nell'archivio autorità di certificazione radice attendibili.
Questo aggiornamento risolve altri certificati digitali?
Sì, oltre ad affrontare i certificati descritti in questo avviso, questo aggiornamento è cumulativo e include i certificati digitali descritti negli avvisi precedenti:
- Microsoft Security Advisory 2524375
- Microsoft Security Advisory 2607712
- Microsoft Security Advisory 2641690
- Microsoft Security Advisory 2718704
- Microsoft Security Advisory 2728973
- Microsoft Security Advisory 2798897
- Microsoft Security Advisory 2961552
Che cos'è la crittografia?
La crittografia è la scienza della protezione delle informazioni convertendola tra il normale stato leggibile (chiamato testo non crittografato) e quello in cui i dati vengono nascosti (noti come testo crittografato).
In tutte le forme di crittografia, viene usato un valore noto come chiave insieme a una procedura denominata algoritmo di crittografia per trasformare i dati di testo non crittografato in testo crittografato. Nel tipo più familiare di crittografia, crittografia a chiave privata, il testo crittografato viene trasformato in testo non crittografato usando la stessa chiave. Tuttavia, in un secondo tipo di crittografia, la crittografia a chiave pubblica viene usata una chiave diversa per trasformare il testo crittografato in testo non crittografato.
Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, nota come chiave privata, deve essere mantenuta segreta. L'altra chiave, nota come chiave pubblica, è destinata a essere condivisa con il mondo. Tuttavia, deve esserci un modo per consentire al proprietario della chiave di indicare al mondo a chi appartiene la chiave. I certificati digitali consentono di eseguire questa operazione. Un certificato digitale è un pezzo di dati antimanomissione che raggruppa una chiave pubblica insieme alle informazioni su di esso (chi lo possiede, per cosa può essere usato, quando scade e così via).
Quali sono i certificati usati per?
I certificati vengono usati principalmente per verificare l'identità di una persona o di un dispositivo, autenticare un servizio o crittografare i file. In genere non è necessario considerare affatto i certificati. È tuttavia possibile che venga visualizzato un messaggio che informa che un certificato è scaduto o non è valido. In questi casi è necessario seguire le istruzioni nel messaggio.
Che cos'è un'autorità di certificazione (CA)?
Le autorità di certificazione sono le organizzazioni che rilasciano certificati. Stabiliscono e verificano l'autenticità delle chiavi pubbliche che appartengono a persone o altre autorità di certificazione e verificano l'identità di una persona o di un'organizzazione che richiede un certificato.
Che cos'è un elenco di certificati attendibili (CTL)?
Un trust deve esistere tra il destinatario di un messaggio firmato e il firmatario del messaggio. Un metodo per stabilire questa relazione di trust è attraverso un certificato, un documento elettronico che verifica che le entità o le persone siano le persone che sostengono di essere. Un certificato viene rilasciato a un'entità da terze parti considerato attendibile da entrambe le altre parti. Ogni destinatario di un messaggio firmato decide quindi se l'autorità emittente del certificato del firmatario è attendibile. CryptoAPI ha implementato una metodologia per consentire agli sviluppatori di applicazioni di creare applicazioni che verificano automaticamente i certificati rispetto a un elenco predefinito di certificati o radici attendibili. Questo elenco di entità attendibili (denominate soggetti) è denominato elenco di certificati attendibili (CTL). Per altre informazioni, vedere l'articolo MSDN, Verifica attendibilità certificati.
Cosa potrebbe fare un utente malintenzionato con questi certificati?
Un utente malintenzionato potrebbe usare questi certificati per spoofing del contenuto, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle contro le proprietà Web seguenti:
- google.com
- mail.google.com
- gmail.com
- www.gmail.com
- m.gmail.com
- smtp.gmail.com
- pop.gmail.com
- imap.gmail.com
- googlemail.com
- www.googlemail.com
- smtp.googlemail.com
- pop.googlemail.com
- imap.googlemail.com
- gstatic.com
- ssl.gstatic.com
- www.static.com
- encrypted-tbn1.gstatic.com
- encrypted-tbn2.gstatic.com
- login.yahoo.com
- mail.yahoo.com
- mail.yahoo-inc.com
- fb.member.yahoo.com
- login.korea.yahoo.com
- api.reg.yahoo.com
- edit.yahoo.com
- watchlist.yahoo.com
- edit.india.yahoo.com
- edit.korea.yahoo.com
- edit.europe.yahoo.com
- edit.singapore.yahoo.com
- edit.tpe.yahoo.com
- legalredirect.yahoo.com
- me.yahoo.com
- open.login.yahooapis.com
- subscribe.yahoo.com
- edit.secure.yahoo.com
- edit.client.yahoo.com
- bt.edit.client.yahoo.com
- verizon.edit.client.yahoo.com
- na.edit.client.yahoo.com
- au.api.reg.yahoo.com
- au.reg.yahoo.com
- profile.yahoo.com
- static.profile.yahoo.com
- openid.yahoo.com
Che cos'è un attacco man-in-the-middle?
Un attacco man-in-the-middle si verifica quando un utente malintenzionato reindirizza la comunicazione tra due utenti attraverso il computer dell'utente malintenzionato senza conoscere i due utenti che comunicano. Ogni utente nella comunicazione invia inconsapevolmente il traffico a e riceve il traffico dall'utente malintenzionato, tutto il mentre pensa di comunicare solo con l'utente previsto.
Che cosa sta facendo Microsoft per risolvere questo problema?
Anche se questo problema non deriva da un problema in alcun prodotto Microsoft, microsoft sta aggiornando il CTL e fornendo un aggiornamento per proteggere i clienti. Microsoft continuerà a indagare su questo problema e potrebbe apportare modifiche future al CTL o rilasciare un aggiornamento futuro per proteggere i clienti.
Dopo aver applicato l'aggiornamento, come è possibile verificare i certificati nell'archivio certificati microsoft non attendibili?
Per Windows Vista, Windows 7, I sistemi Windows Server 2008 e Windows Server 2008 R2 che usano l'aggiornamento automatico dei certificati revocati (vedere l'articolo della Microsoft Knowledge Base 2677070 per informazioni dettagliate) e per i sistemi Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 e Windows Server 2012 R2, è possibile controllare il log applicazioni nel Visualizzatore eventi per una voce con i valori seguenti:
- Origine: CAPI2
- Livello: Informazioni
- ID evento: 4112
- Descrizione: aggiornamento automatico riuscito dell'elenco dei certificati non consentiti con data di validità: giovedì 3 luglio 2014 (o versione successiva).
Per i sistemi che non usano l'aggiornamento automatico dei certificati revocati, nello snap-in MMC Certificati verificare che il certificato seguente sia stato aggiunto alla cartella Certificati non attendibili:
| Certificate | Rilasciato da | Identificazione personale |
|---|---|---|
| Autorità di certificazione della scheda di interfaccia di rete | CCA India 2007 | 48 22 82 4e ce 7e d1 45 0c 03 9a a0 77 dc 1f 8a e3 48 9b bf |
| CA NIC 2011 | CCA India 2011 | c6 79 64 90 cd ee aa b3 1a ed 79 87 52 ec d0 03 e6 86 6c b2 |
| CA NIC 2014 | CCA India 2014 | d2 db f7 18 23 b2 b8 e7 8f 59 58 09 61 50 bf cb 97 cc 38 8a |
Nota Per informazioni su come visualizzare i certificati con lo snap-in MMC, vedere l'articolo MSDN How to: View Certificates with the MMC Snap-in (Procedura: Visualizzare i certificati con lo snap-in MMC).
Azioni suggerite
Applicare l'aggiornamento per le versioni supportate di Microsoft Windows
Un aggiornamento automatico dei certificati revocati è incluso nelle edizioni supportate di Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 e Windows Server 2012 R2 e per i dispositivi che eseguono Windows Telefono 8 o Windows Telefono 8.1. Per questi sistemi operativi o dispositivi, i clienti non devono eseguire alcuna azione perché il CTL verrà aggiornato automaticamente.
Per i sistemi che eseguono Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 che usano l'aggiornamento automatico dei certificati revocati (vedere l'articolo della Microsoft Knowledge Base 2677070 per informazioni dettagliate), i clienti non devono eseguire alcuna azione perché il CTL verrà aggiornato automaticamente.
Per i sistemi che eseguono Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 e che non dispongono dell'aggiornamento automatico dei certificati revocati, questo aggiornamento non è disponibile. Per ricevere questo aggiornamento, i clienti devono installare l'aggiornamento automatico dei certificati revocati (vedere l'articolo della Microsoft Knowledge Base 2677070 per informazioni dettagliate). I clienti in ambienti disconnessi e che eseguono Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 possono installare l'aggiornamento 2813430 per ricevere questo aggiornamento (vedere l'articolo della Microsoft Knowledge Base 2813430 per informazioni dettagliate).
Per i clienti che eseguono Windows Server 2003, Microsoft consiglia di applicare immediatamente l'aggiornamento 2982792 usando il software di gestione degli aggiornamenti, controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update o scaricando e applicando l'aggiornamento manualmente. Per i collegamenti per il download, vedere l'articolo della Microsoft Knowledge Base 2982792 .
Azioni aggiuntive suggerite
Proteggere il PC
Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni, vedere Microsoft Cassaforte ty & Security Center.
Mantenere aggiornato il software Microsoft
Gli utenti che eseguono software Microsoft devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano il più protetti possibile. Se non si è certi che il software sia aggiornato, visitare Microsoft Update, analizzare il computer per verificare la disponibilità degli aggiornamenti e installare eventuali aggiornamenti ad alta priorità offerti. Se l'aggiornamento automatico è abilitato e configurato per fornire aggiornamenti per i prodotti Microsoft, gli aggiornamenti vengono recapitati all'utente quando vengono rilasciati, ma è necessario verificare che siano installati.
Riconoscimenti
Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:
- Adam Langley e il team di sicurezza di Google Chrome per portare l'evento imprevisto alla nostra attenzione e collaborare con noi sulla risposta
Altre informazioni
Microsoft Active Protections Program (MAPP)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni, vedere Supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (10 luglio 2014): Avviso pubblicato.
- V2.0 (17 luglio 2014): avviso modificato per annunciare la disponibilità dell'aggiornamento 2982792 per le edizioni supportate di Windows Server 2003. Per altre informazioni, vedere la sezione Azioni suggerite di questo avviso.
Pagina generata 2014-07-31 13:34Z-07:00.