Microsoft 安全性摘要報告 2607712

偽數位憑證可能允許偽造

發行: 2011年8月29日 | 更新: 2011年9月26日

版本: 5.0

一般資訊

提要

Microsoft 發現利用至少一個 DigiNotar 發行之偽數位憑證的主動式攻擊；DigiNotar 是信任根憑證授權存放區內的其中一個憑證授權單位。偽憑證可能被用來偽造內容、進行網路釣魚攻擊，或對包括 Internet Explorer 在內的所有網頁瀏覽器的使用者進行攔截式攻擊。雖然這不是 Microsoft 產品的弱點，但這個問題會影響所有受支援的 Microsoft Windows 版本。

Microsoft 持續調查此問題。根據初步調查，Microsoft 在 2011 年 9 月 14 日，針對所有受支援的 Microsoft Windows 版本提供一項新的更新 (KB2616676)，此更新會將下列 DigiNotar 根憑證置於 Microsoft 不信任憑證存放區內，以撤銷對憑證的信任：

• DigiNotar Root CA
• DigiNotar Root CA G2
• DigiNotar PKIoverheid CA Overheid
• DigiNotar PKIoverheid CA Organisatie - G2
• DigiNotar PKIoverheid CA Overheid en Bedrijven
• Entrust 發行的 DigiNotar Root CA (2 個憑證)
• Entrust 發行的 DigiNotar Services 1024 CA
• GTE CyberTrust 發行的 DigiNotar Cyber CA (3 個憑證)

建議。 Microsoft 建議客戶考慮立即使用更新管理軟體來套用更新，或是使用 Microsoft Update 服務來檢查更新。請參閱本摘要報告的＜建議動作＞一節以取得更多資訊。

已知問題。 Microsoft 知識庫文件編號 2616676 中記載了客戶安裝此更新時，可能會發生的目前已知問題。該文件並說明了解決這些問題的建議解決方案。

摘要報告詳細資料

問題參照

如需這個問題的詳細資訊，請參閱下列參考資料：

參照	識別
Microsoft 知識庫文件	2616676

受影響的軟體和裝置

本次摘要報告討論下列軟體和裝置。

受影響的軟體
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
適用於 Itanium 型系統的 Windows Server 2003 SP2
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
適用於 32 位元系統的 Windows Server 2008 Service Pack 2*
適用於 x64 型系統的 Windows Server 2008 Service Pack 2*
適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2
適用於 32 位元系統的 Windows 7 和適用於 32 位元系統的 Windows 7 Service Pack 1
適用於 x64 型系統的 Windows 7 和適用於 x64 型系統的 Windows 7 Service Pack 1
適用於 x64 型系統的 Windows Server 2008 R2 和適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1*
適用於 Itanium 型系統的 Windows Server 2008 R2 和適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1

***會影響 Server Core 安裝。**無論上述受支援版本的 Windows Server 2008 或 Windows Server 2008 R2 是否使用 Server Core 安裝選項安裝，此摘要報告均適用相同的嚴重性等級。如需此安裝選項的詳細資訊，請參閱 TechNet 文章：管理 Server Core 安裝和維護 Server Core 安裝。請注意，Server Core 安裝選項不適用於某些 Windows Server 2008 和 Windows Server 2008 R2 版本；請參閱比較 Server Core 安裝選項 (英文)。

不受影響的裝置
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

常見問題集

為何於 2011 年 9 月 19 日修訂此摘要報告？
Microsoft 修訂此摘要報告，以宣佈重新發行 KB2616676 更新。此重新發行版本現已成為積存更新，可解決一項於 Microsoft 知識庫文件編號 2616676 中所述的已知問題。原始的 KB2616676 更新僅針對支援版本的 Windows XP 與 Windows Server 2003，且不包含 KB2607712 與 KB2524375 更新中內含的數位憑證。

使用支援版本 Windows XP 與 Windows Server 2003 的客戶應套用重新發行的 KB2616676 更新，以避免受此摘要報告所述之偽憑證影響。使用支援版本 Windows Vista、Windows 7、Windows Server 2008，與 Windows Server 2008 R2 的客戶不受此重新發行版本影響。

注意： 支援版本 Windows XP 與 Windows Server 2003 的客戶若已全數套用原始的 KB2616676、KB2607712 與 KB2524375 更新，便不會收到此更新，這是因為這個重新發行的套件屬於積存更新，內容包含上述三個更新套件的所有變更。

大部分客戶都已啟用自動更新，因此不必採取任何行動，因為系統會自動下載和安裝 KB2616676 更新程式。

Windows 開發人員預覽是否會受到此問題影響？
是。KB2616676 更新可供 Windows 開發人員預覽版本使用。建議 Windows 開發人員預覽的客戶將更新套用至其系統。該更新只在Microsoft Update提供。

為何於 2011 年 9 月 13 日修訂此摘要報告？
Microsoft 修訂此摘要報告，是為了宣佈發行可解決此問題的 KB2616676 更新。該更新會將由 Entrust 或 GTE 交叉簽署的六個其他 DigiNotar 根憑證新增到 Microsoft 不信任憑證存放區。KB2616676 更新會取代 KB2607712 更新，也會包含先前由 KB2607712 新增至 Microsoft 不信任憑證存放區的五個 DigiNotar 根憑證。

雖然 KB2616676 更新會取代 KB2607712 更新，但 KB2607712 更新並不是 KB2616676 更新的必要條件。無論是否已套用 KB2607712 更新，客戶均應套用 KB2616676 更新，以解決此摘要報告中所描述的問題。套用 KB2616676 更新的客戶無需套用 KB2607712 更新。

為何於 2011 年 9 月 6 日修訂此摘要報告？
Microsoft 修訂此摘要報告，是為了宣佈發行可解決此問題的一項更新。此更新將五個 DigiNotar 根憑證新增至 Microsoft 不信任憑證存放區。正常情況下，客戶不需主動安裝此更新，因為多數客戶均啟用自動更新，因此系統將自動下載及安裝此更新。對於沒有啟用自動更新的客戶，請參閱 Microsoft 知識庫文件編號 2607712，瞭解如何手動套用更新。

Microsoft 於 2011 年 8 月 29 日，藉由更新 Microsoft CTL，移除了一個對 DigiNotar 根憑證的信任。Microsoft 為什麼要發行此更新？
Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 皆使用 Microsoft 憑證信任清單來驗證憑證授權單位的公信力。Windows XP 和 Windows Server 2003 不使用 Microsoft 憑證信任清單來驗證憑證授權單位的公信力。因此，所有版本的 Windows XP 和 Windows Server 2003 都需要安裝更新，客戶的安全才能獲得保障。

Windows Vista、Windows 7、Windows Server 2008 及 Windows Server 2008 R2 的使用者於 2011 年 8 月 29 日更新 CTL 後，若存取由不信任的 DigiNotar 根憑證所簽署的網站，就會看到警告訊息，表示無法驗證憑證的公信力。使用者可以關閉此警告訊息，來存取網站。

為了保護客戶，幫助客戶更全面抵禦攔截式攻擊，Microsoft 將發行一項更新，採取額外措施來保護客戶，這項更新會徹底防止 Internet Explorer 使用者存取內含由不信任的 DigiNotar 根憑證所簽署之憑證的網站資源。套用此更新的 Internet Explorer 使用者，在嘗試存取上述其中一個 DigiNotar 根憑證所簽署的網站時，會看到錯誤訊息。這些使用者將無法繼續存取網站。

KB2616676更新的作用何在？
KB2616676 更新會在所有受支援的 Microsoft Windows 版本上，將十一個 DigiNotar 根憑證新增至 Microsoft 不信任憑證存放區。此外，KB2616676 更新也包含 2011 年 7 月 6 日發行的 KB2524375 更新中的憑證。

當使用者嘗試存取 TLS 加密的網站和不信任的 DigiNotar 根憑證簽署的網站時，使用者體驗將有何不同？
嘗試存取由不信任的 DigiNotar 根憑證所簽署之網站的 Internet Explorer 使用者，會看到錯誤訊息。由於此憑證位於 Microsoft 不信任憑證存放區內，因此 Internet Explorer 不會允許使用者繼續前往此網站。在網站的憑證換成由信任的根憑證所簽署的新憑證之前，網站將無法使用。

套用更新之後，我該如何驗證 Microsoft 不信任憑證存放區內的憑證？
如需憑證檢視方法的相關資訊，請參閱 MSDN 文章 HOW TO： 使用 MMC 嵌入式管理單元來檢視憑證。

請在 [憑證 MMC 嵌入式管理單元] 中，確認下列憑證已新增至 [沒有信任的憑證] 資料夾：

憑證	發行者	憑證指紋	更新*
DigiNotar Root CA	DigiNotar Root CA	c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c	KB2607712， KB2616676
DigiNotar Root CA G2	DigiNotar Root CA G2	43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3	KB2607712， KB2616676
DigiNotar PKIoverheid CA Overheid	Staat der Nederlanden Overheid CA	b5 33 34 5d 06 f6 45 16 40 3c 00 da 03 18 7d 3b fe f5 91 56	KB2607712， KB2616676
DigiNotar PKIoverheid CA Organisatie - G2	Staat der Nederlanden Organisatie CA - G2	5d e8 3e e8 2a c5 09 0a ea 9d 6a c4 e7 a6 e2 13 f9 46 e1 79	KB2607712， KB2616676
DigiNotar PKIoverheid CA Overheid en Bedrijven	Staat der Nederlanden Overheid CA	40 aa 38 73 1b d1 89 f9 cd b5 b9 dc 35 e2 13 6f 38 77 7a f4	KB2607712， KB2616676
DigiNotar Root CA	Entrust.net 安全伺服器憑證授權單位	86 e8 17 c8 1a 5c a6 72 fe 00 0f 36 f8 78 c1 95 18 d6 f8 44	KB2616676
DigiNotar Root CA	Entrust.net 安全伺服器憑證授權單位	‎36 7d 4b 3b 4f cb bc 0b 76 7b 2e c0 cd b2 a3 6e ab 71 a4 eb	KB2616676
DigiNotar Services 1024 CA	Entrust.net 安全伺服器憑證授權單位	‎f8 a5 4e 03 aa dc 56 92 b8 50 49 6a 4c 46 30 ff ea a2 9d 83	KB2616676
DigiNotar Cyber CA	GTE CyberTrust Global Root	‎b8 6e 79 16 20 f7 59 f1 7b 8d 25 e3 8c a8 be 32 e7 d5 ea c2	KB2616676
DigiNotar Cyber CA	GTE CyberTrust Global Root	‎2b 84 bf bb 34 ee 2e f9 49 fe 1c be 30 aa 02 64 16 eb 22 16	KB2616676
DigiNotar Cyber CA	GTE CyberTrust Global Root	‎98 45 a4 31 d5 19 59 ca f2 25 32 2b 4a 4f e9 f2 23 ce 6d 15	KB2616676

由這些更新所新增至 \[沒有信任的憑證\] 資料夾中的憑證。 KB2616676 更新也包含 [KB2524375](https://support.microsoft.com/kb/2524375) 更新中新增至 \[沒有信任的憑證\] 資料夾中的憑證。 **摘要報告的範圍為何？** 此摘要報告旨在通知客戶，Microsoft 已經確認 DigiNotar 已發行至少一個偽憑證，並遭主動式攻擊利用。Microsoft 已針對所有受支援的 Microsoft Windows 版本發行一項可解決此問題的更新。 **什麼是加密？** 加密是保護資訊安全的一門科學，可將資訊在正常、可讀的狀態 (稱為純文字) 以及隱匿的資料狀態 (即加密文字) 之間進行轉換。 在各種形式的加密中，一個稱為「金鑰」的值會搭配一個稱為 Crypto 演算法的程序，將純文字資料轉化成加密文字。在一般熟知的加密類型「秘密金鑰加密」中，加密文字是使用同樣的金鑰轉換回純文字。而第二種加密類型「公開金鑰加密」則是使用不同的金鑰將加密文字轉換回純文字。 **什麼是數位憑證？** [公開金鑰加密](https://msdn.microsoft.com/zh-tw/library/92f9ye3s.aspx)共有兩組金鑰，其中一個稱為「私密金鑰」，必須加以保密。而另一個則稱為「公開金鑰」，必須透露給外界。但是，金鑰的擁有者必須透過某種方式來告知外界金鑰的主人是誰。「數位憑證」便是金鑰擁有者用來傳達這項資訊的一種方式。數位憑證是可防篡改的資料，它能將公開金鑰與其相關資訊封包在一起，如金鑰的擁有者、用途、到期日等等。 **憑證有什麼用途？** 憑證主要是用來確認人員或裝置的身分、驗證一項服務、或加密檔案。正常情況下，您完全不必操心憑證的問題。但是，您有時可能會看見一則訊息，告知您某個憑證已到期或無效。這時您應該聽從訊息中的指示。 **什麼是憑證授權單位 (CA)？** 憑證授權單位就是發行憑證的組織。憑證授權單位會建立並驗證屬於某個人或其他憑證授權單位的公開金鑰之真實性，並且驗證要求憑證的人員或組織之身分。 **什麼是憑證信任清單 (CTL)？** 簽署訊息的收件者與訊息簽署人之間必須存在著信任。建立信任的方法之一是透過憑證，以一份電子文件確認實體或個人所宣稱的身分。由雙方皆信任的第三方向實體發行憑證。如此一來，每位簽署訊息的收件者可決定簽署人憑證的發行者是否值得信任。CryptoAPI 已實作一種方法，允許應用程式開發人員建立可針對信任的憑證或根之預定清單自動驗證憑證的應用程式。這份信任的實體 (稱為對象) 清單被稱為憑證信任清單 (CTL)。如需更多資訊，請參閱 MSDN 文章，[憑證信任驗證](https://msdn.microsoft.com/zh-tw/library/aa376546(v=vs.85).aspx)。 **問題的肇因是什麼？** Microsoft 發現利用至少一個 DigiNotar 發行之偽數位憑證的主動式攻擊；DigiNotar 是信任根憑證授權存放區內的其中一個憑證授權單位。偽憑證可能被用來偽造內容、進行網路釣魚攻擊，或對包括 Internet Explorer 在內的所有網頁瀏覽器的使用者進行攔截式攻擊。雖然這不是 Microsoft 產品的弱點，但這個問題會影響所有受支援的 Microsoft Windows 版本。 **攻擊者可能會利用這項弱點採取什麼行動？** 攻擊者可以使用這些憑證來偽造內容、進行網路釣魚攻擊，或對包括 Internet Explorer 在內的所有網頁瀏覽器的使用者進行攔截式攻擊。 **什麼是攔截式攻擊？** 在兩位通訊使用者不知情的情況下，攻擊者利用自己的電腦轉交這兩位使用者間的通訊，就稱為攔截式攻擊。進行通訊的每個使用者都在不知情的狀況下傳送資料流給攻擊者並從攻擊者接收資料流，卻以為是與原本預期的使用者進行通訊。 **撤銷憑證的程序為何？** 使用者若使用這些憑證，憑證授權單位有一套標準程序可防止使用者接受這些憑證。每個憑證發行者都會定期產生一個 CRL，其中會列出所有應視為無效的憑證。每份憑證皆應提供一項稱為 CRL 發佈點 (CDP) 的資料，此資料會說明可取得 CRL 的位置。 網頁瀏覽器還有另一種方法可驗證數位憑證身分，亦即透過使用線上憑證狀態通訊協定 (OCSP)。OCSP 會連至由簽署數位憑證的憑證授權單位 (CA) 主控的 OCSP 回應程式，來進行互動式的憑證驗證。每項憑證都應透過其中的授權單位資訊存取 (AIA) 延伸，提供通往 OCSP 回應程式位置的指標。此外，OCSP 裝訂功能可讓 Web 伺服器本身向用戶端提供 OCSP 驗證回應。 在支援版本的 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 上，Internet Explorer 7 和較新版本的 Internet Explorer 的 OCSP 驗證預設為啟用。在這些作業系統中，如果 OCSP 驗證檢查失敗，瀏覽器會透過與 CRL 位置聯繫的方式來驗證憑證。 如需更多關於檢查憑證撤銷的資訊，請參閱 TechNet 文章[憑證撤銷和狀態檢查](https://technet.microsoft.com/zh-tw/library/ee619730(ws.10).aspx)。 **什麼是憑證撤銷清單 (CRL)？** CRL 是 CA 所發行、經數位簽署的一份清單，其中列出由 CA 所發行、而隨後經 CA 撤銷的憑證。針對每一份撤銷的憑證，這份清單皆包含憑證的序號、撤銷憑證的日期，以及撤銷原因。應用程式可執行 CRL 檢查，來判斷憑證的撤銷狀態。 **什麼是 CRL 發佈點 (CDP)？** CDP 為一憑證延伸，能說明在何處可擷取 CA 的憑證撤銷清單。CDP 可能含有零個、一個或多個 HTTP、檔案或 LDAP 的 URL。 **什麼是線上憑證狀態通訊協定 (OCSP)？** OCSP 是一個通訊協定，可即時驗證憑證的狀態。一般而言，OCSP 回應程式會依據從 CA 擷取的 CRL 來回覆撤銷狀態。 **Microsoft 對此問題提供怎樣的解決方法？** 雖然此問題的起因並非來自 Microsoft 產品本身，我們還是更新了憑證信任清單，將 DigiNotar 根憑證移除。Microsoft 將持續調查此問題，並會發行後續更新以保護客戶。 **我如何得知自己是否遇上了無效憑證的錯誤？** 當 Internet Explorer 遭遇無效的憑證時，使用者會看見一個網頁，說明「此網站的安全性憑證有問題」。這則警告訊息出現時，我們建議使用者關閉網頁，避免瀏覽該網站。 使用者只有在系統判斷憑證為無效時，才會看見這則訊息，例如，當使用者已啟用憑證撤銷清單 (CRL) 或線上憑證狀態通訊協定 (OCSP) 驗證時。在支援版本的 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 上，Internet Explorer 7 和較新版本的 Internet Explorer 的 OCSP 驗證預設為啟用。 建議動作 --------

受支援的 Microsoft Windows 版本

大部分客戶都已啟用自動更新，因此不必採取任何行動，因為系統會自動下載和安裝 KB2616676 更新程式。沒有啟用自動更新的客戶則必須檢查更新，並手動安裝更新。如需有關自動更新中特定設定選項的資訊，請參閱 Microsoft 知識庫文件編號 294871。

針對系統管理員和企業安裝，或是想要手動安裝 KB2616676 更新的使用者，Microsoft 建議客戶使用更新管理軟體，立即套用更新，或使用 Microsoft Update 服務檢查更新。如需瞭解如何手動套用更新，請參閱 Microsoft 知識庫文件編號 2616676。

雖然 KB2616676 更新會取代 KB2607712 更新，但 KB2607712 更新並不是 KB2616676 更新的必要條件。無論是否已套用 KB2607712 更新，客戶均應套用 KB2616676 更新，以解決此摘要報告中所描述的問題。套用 KB2616676 更新的客戶無需套用 KB2607712 更新。

其他建議動作

• 保護您的電腦

  我們持續鼓勵客戶依照「保護您的電腦」中的指引啟用防火牆、取得軟體更新，以及安裝防毒軟體。客戶可以在保護您的電腦網站獲得這些步驟的更多資訊。

  如需在網際網路中保持安全的詳細資訊，請造訪 Microsoft 資訊安全技術中心。

• 維持 Microsoft 軟體的最新狀態

  執行 Windows 軟體的使用者應套用最新的 Microsoft 安全性更新，以確保電腦受到盡可能完善的保護。如果您不確定軟體是否為最新，請造訪 Windows Update，掃描電腦尋找可用的更新，並安裝提供給您的任何高優先順序的更新。如果您啟用了自動更新，並將其設成為提供 Microsoft 產品更新，更新就會在發行時傳送給您，但您仍應確認更新程式已確實安裝。

其他資訊

Microsoft 主動保護計畫 (MAPP)

為了增強客戶的安全性保護，Microsoft 將在每月發行安全性更新之前，提前向重要安全性軟體提供者提供弱點資訊。安全性軟體提供者可利用此弱點資訊，透過其安全性軟體或裝置 (如防毒軟體、網路入侵偵測系統、或主機入侵預防系統)，為客戶提供更新的保護措施。如果要判斷是否有安全性軟體提供者的主動保護可用，請造訪由 Microsoft 主動保護計畫 (MAPP) 合作夥伴上列出的計畫合作夥伴所提供的主動保護計畫網站。

意見反應

• 您可以填寫 Microsoft 技術支援服務表格 (客戶服務：與我們連絡) 來提供意見反應。

支援

• 美國及加拿大地區客戶可洽詢資訊安全支援以取得技術支援。如需更多可用支援選項的資訊，請參閱 Microsoft 技術支援服務。
• 不同國家的客戶，可以從當地的 Microsoft 分公司取得支援。如需瞭解如何連絡 Microsoft，瞭解世界各地支援資訊，請造訪世界各地技術支援。
• Microsoft TechNet 資訊安全
• 網站提供 Microsoft 產品安全性的其他相關資訊。

免責聲明

本摘要報告中的資訊係以其「現狀」提供，並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保，包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害，Microsoft Corporation 及其供應商皆不負任何法律責任，包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任，因此前述限制不適用於這些地區。

修訂

• V1.0 (2011 年 8 月 29 日)： 摘要報告發行。
• V2.0 (2011 年 8 月 29 日)： 修訂公告，修正錯誤的摘要報告號碼。
• V3.0 (2011 年 9 月 6 日)： 修訂此公告，宣佈發行可解決此問題的一項更新。
• V4.0 (2011 年 9 月 13 日)： 修訂此公告，宣佈發行可解決此摘要報告中所述問題的 KB2616676 更新。
• V4.1 (2011 年 9 月 13 日)： 修訂此公告，宣佈適用於 Windows 開發人員預覽版本的 KB2616676 更新已可供使用。請參閱本摘要報告的更新常見問題集以取得更多資訊。
• V5.0 (2011 年 9 月 19 日)： 修訂以宣佈重新發行 KB2616676 更新。請參閱本摘要報告的更新常見問題集以取得更多資訊。

Built at 2014-04-18T13:49:36Z-07:00