安全性諮詢
Microsoft Security Advisory 2607712
詐騙數位證書可能會允許詐騙
發佈時間: 2011 年 8 月 29 日 |更新日期:2011 年 9 月 19 日
版本: 5.0
一般資訊
執行摘要
Microsoft 知道使用至少一個由 DigiNotar 簽發的詐騙數位證書進行主動式攻擊,這是信任跟證書授權單位存放區中存在的證書頒發機構單位。 詐騙憑證可用來詐騙內容、執行網路釣魚攻擊,或針對包括 Internet Explorer 用戶在內的所有網頁瀏覽器使用者執行中間人攻擊。 雖然這不是 Microsoft 產品中的弱點,但此問題會影響所有支援的 Microsoft Windows 版本。
Microsoft 正在繼續調查此問題。 根據初步調查,Microsoft 會在 2011 年 9 月 13 日針對所有支援的 Microsoft Windows 版本提供新的更新(KB2616676),以撤銷下列 DigiNotar 跟證書的信任,方法是將它們放入 Microsoft 不受信任的證書存儲:
- DigiNotar 根 CA
- DigiNotar 根 CA G2
- DigiNotar PKIoverheid CA Overheid
- DigiNotar PKIoverheid CA 召集人 - G2
- DigiNotar PKIoverheid CA Overheid en Bedrijven
- DigiNotar Root CA 由 Entrust 發行 (2 個憑證)
- DigiNotar Services 1024 CA 由 Entrust 發行
- 由 GTE CyberTrust 發行的 DigiNotar Cyber CA (3 個憑證)
建議。 Microsoft 建議客戶使用更新管理軟體立即套用更新,或使用 Microsoft Update 服務檢查更新。 如需詳細資訊,請參閱 此諮詢的建議動作 一節。
已知問題。Microsoft 知識庫文章2616676 記載客戶安裝此更新時可能會遇到的目前已知問題。 本文也記載了這些問題的建議解決方案。
諮詢詳細數據
問題參考
如需此問題的詳細資訊,請參閱下列參考:
| 參考資料 | 識別 |
|---|---|
| Microsoft 知識庫文章 | 2616676 |
受影響的軟體和裝置
此諮詢會討論下列軟體和裝置。
| 受影響的軟體 |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 SP2 for Itanium 型系統 |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for 32 位系統 Service Pack 2* |
| 適用於 x64 型系統的 Windows Server 2008 Service Pack 2* |
| Windows Server 2008 for Itanium 型系統 Service Pack 2 |
| 適用於 32 位系統的 Windows 7 和適用於 32 位系統的 Windows 7 Service Pack 1 |
| 適用於 x64 型系統的 Windows 7 和適用於 x64 型系統的 Windows 7 Service Pack 1 |
| 適用於 x64 型系統的 Windows Server 2008 R2 和適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1* |
| Windows Server 2008 R2 for Itanium 型系統和 Windows Server 2008 R2 for Itanium 型系統 Service Pack 1 |
*Server Core 安裝受到影響。 此諮詢適用於支援的 Windows Server 2008 或 Windows Server 2008 R2 版本,如指出是否使用 Server Core 安裝選項安裝。 如需此安裝選項的詳細資訊,請參閱TechNet文章:管理ServerCore安裝和維護Server Core 安裝。 請注意,Server Core 安裝選項不適用於特定版本的 Windows Server 2008 和 Windows Server 2008 R2;請參閱 比較 Server Core 安裝選項。
| 非受影響的裝置 |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
常見問題集
為什麼這項諮詢修訂了 2011 年 9 月 19 日?
Microsoft 已修訂此諮詢,以宣佈KB2616676更新的重新發行。 重新發行現在已累積,且解決 Microsoft 知識庫文章中所述 的已知問題 2616676,其中 原始KB2616676更新僅支援 Windows XP 和 Windows Server 2003 版本上的已知問題並未包含KB2607712和KB2524375更新中包含的數字證書。
受支援 Windows XP 和 Windows Server 2003 版本的客戶應套用重新發行的 KB2616676 更新版本,以防止使用此諮詢中指定的詐騙憑證。 支援版本的 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 的客戶不會受到此重新發行的影響。
注意 在原始KB2616676、KB2607712和KB2524375更新之前都已套用,因為重新發行套件是累積的,且包含這三個更新套件的所有變更時,將不會提供更新給受支援版本的 Windows XP 和 Windows Server 2003 客戶。
大部分的客戶都已啟用自動更新,而且不需要採取任何動作,因為重新發行的KB2616676更新會自動下載並安裝。
Windows 開發人員預覽 是否受此問題影響?
是。 KB2616676更新適用於 Windows 開發人員預覽 版本。 鼓勵 Windows 開發人員預覽的客戶將更新套用至其系統。 更新僅適用於 Windows Update。
為什麼這項諮詢於 2011 年 9 月 13 日修訂?
Microsoft 已修訂此諮詢,宣佈發行可解決此問題的 KB2616676 更新。 此更新會將六個額外的 DigiNotar 跟證書新增至由 Entrust 或 GTE 交叉簽署的 Microsoft 不受信任證書存儲。 KB2616676更新會取代KB2607712更新,並包含KB2607712更新新增至 Microsoft 不受信任證書存儲的前五個 DigiNotar 跟證書。
雖然KB2616676更新會取代KB2607712更新,但KB2607712更新不是KB2616676更新的必要條件。 無論是否已套用KB2607712更新,客戶都應該套用KB2616676更新來解決此諮詢中所述的問題。 套用KB2616676更新的客戶不需要套用KB2607712更新。
為什麼這項諮詢修訂了 2011 年 9 月 6 日?
Microsoft 已修訂此諮詢,宣佈發行可解決此問題的更新。 此更新會將五個 DigiNotar 跟證書新增至 Microsoft 不受信任的證書存儲。 客戶通常不需要採取任何動作才能安裝此更新,因為大部分的客戶都已啟用自動更新,而且會自動下載並安裝此更新。 如需未啟用自動更新的客戶,請參閱 Microsoft 知識庫文章2607712 ,以取得如何手動套用更新的資訊。
在 2011 年 8 月 29 日,Microsoft 藉由更新 Microsoft CTL,從一個 DigiNotar 跟證書中移除信任。 為什麼 Microsoft 會發行更新?
Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 會使用 Microsoft 憑證信任列表來驗證證書頒發機構單位的信任。 Windows XP 和 Windows Server 2003 不會使用 Microsoft 憑證信任列表來驗證證書頒發機構單位的信任。 因此,所有版本的 Windows XP 和 Windows Server 2003 都需要更新,以保護客戶。
在 2011 年 8 月 29 日 CTL 更新之後,Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 使用者存取由不受信任的 DigiNotar 跟證書簽署的網站,會顯示警告訊息,指出無法驗證憑證的信任。 允許使用者按下此警告訊息來存取網站。
為了更全面地保護客戶免受可能的中間人攻擊,Microsoft 正在發佈更新,採取其他措施保護客戶,完全防止 Internet Explorer 使用者存取包含未受信任 DigiNotar 跟證書所簽署憑證的網站資源。 嘗試存取上述其中一個 DigiNotar 跟證書所簽署的網站時,套用此更新的 Internet Explorer 使用者會收到錯誤訊息。 這些使用者將無法繼續存取網站。
KB2616676更新有何用途?
在所有支援的 Microsoft Windows 版本中,KB2616676更新會將 11 個 DigiNotar 跟證書新增至 Microsoft 不受信任的證書存儲。 此外,KB2616676更新也會在 2011 年 7 月 6 日發行的KB2524375更新中包含憑證。
嘗試存取已使用 TLS 加密並由不受信任的 DigiNotar 跟證書簽署的網站時,此更新會如何變更用戶體驗?
嘗試存取未受信任 DigiNotar 跟證書所簽署網站的 Internet Explorer 使用者,將會收到錯誤訊息。 由於此憑證位於 Microsoft 不受信任的證書存儲中,Internet Explorer 不會允許使用者繼續網站。 在網站憑證取代為由受信任跟證書簽署的新憑證之前,網站仍無法使用。
套用更新之後,如何確認 Microsoft 不受信任的憑證存放區中的憑證?
如需如何檢視憑證的資訊,請參閱 MSDN 文章 :如何:使用 MMC 嵌入式管理單元檢視憑證。
在 [ 憑證] MMC 嵌入式管理單元中,確認下列憑證已新增至 [不受信任的憑證 ] 資料夾:
| 憑證 | 發行者 | 指紋 | 更新* |
|---|---|---|---|
| DigiNotar 根 CA | DigiNotar 根 CA | c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c | KB2607712,\ KB2616676 |
| DigiNotar 根 CA G2 | DigiNotar 根 CA G2 | 43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3 | KB2607712,\ KB2616676 |
| DigiNotar PKIoverheid CA Overheid | Staat der Nederlanden Overheid CA | b5 33 34 5d 06 f6 45 16 40 3c 00 da 03 18 7d 3b fe f5 91 56 | KB2607712,\ KB2616676 |
| DigiNotar PKIoverheid CA 召集人 - G2 | Staat der Nederlanden Organisatie CA - G2 | 5d e8 3e e8 2a c5 09 0a ea 9d 6a c4 e7 a6 e2 13 f9 46 e1 79 | KB2607712,\ KB2616676 |
| DigiNotar PKIoverheid CA Overheid en Bedrijven | Staat der Nederlanden Overheid CA | 40 aa 38 73 1b d1 89 f9 cd b5 b9 dc 35 e2 13 6f 38 77 7a f4 | KB2607712,\ KB2616676 |
| DigiNotar 根 CA | Entrust.net 安全伺服器證書頒發機構單位 | 86 e8 17 c8 1a 5c a6 72 fe 00 0f 36 f8 78 c1 95 18 d6 f8 44 | KB2616676 |
| DigiNotar 根 CA | Entrust.net 安全伺服器證書頒發機構單位 | 36 7d 4b 3b 4f cb bc 0b 76 7b 2e c0 cd b2 a3 6e ab 71 a4 eb | KB2616676 |
| DigiNotar Services 1024 CA | Entrust.net 安全伺服器證書頒發機構單位 | f8 a5 4e 03 aa dc 56 92 b8 50 49 6a 4c 46 30 ff ea a2 9d 83 | KB2616676 |
| DigiNotar Cyber CA | GTE CyberTrust Global Root | b8 6e 79 16 20 f7 59 f1 7b 8d 25 e3 8c a8 be 32 e7 d5 ea c2 | KB2616676 |
| DigiNotar Cyber CA | GTE CyberTrust Global Root | 2b 84 bf bb 34 ee 2e f9 49 fe 1c be 30 aa 02 64 16 eb 22 16 | KB2616676 |
| DigiNotar Cyber CA | GTE CyberTrust Global Root | 98 45 a4 31 d5 19 59 ca f2 25 32 2b 4a 4f e9 f2 23 ce 6d 15 | KB2616676 |
*這些更新新增至 [不受信任的憑證] 資料夾的憑證。
KB2616676更新也包含新增至 [未受信任憑證] 資料夾之 KB2524375 更新中的憑證。
諮詢的範圍為何?
此諮詢的目的是通知客戶,Microsoft 已確認至少有一個詐騙憑證已由 DigiNotar 簽發,並正用於主動攻擊。 Microsoft 已針對解決此問題的所有支援的 Microsoft Windows 版本發出更新。
什麼是密碼編譯?
密碼編譯是保護信息的科學,方法是在正常、可讀取的狀態(稱為純文本)之間轉換資訊,以及其中一種數據被遮蔽(稱為加密文字)。
在所有形式的密碼編譯中,稱為密鑰的值會與稱為密碼編譯演算法的程式搭配使用,將純文本數據轉換成加密文字。 在最熟悉的密碼編譯類型中,密碼密鑰密碼編譯會使用相同的密鑰轉換回純文字。 不過,在第二種類型的密碼編譯中,公鑰加密會使用不同的密鑰,將加密文字轉換回純文字。
什麼是數字證書?
在 公鑰密碼編譯中,其中一個金鑰,稱為私鑰,必須保密。 另一個金鑰,稱為公鑰,旨在與世界共用。 不過,金鑰擁有者必須有辦法告訴世界密鑰所屬。 數位證書提供執行此動作的方法。 數位證書是一個防竄改的數據片段,可將公鑰封裝在一起,以及其相關信息-擁有者、其用途、到期時間等等。
憑證用途為何?
憑證主要用於驗證人員或裝置的身分識別、驗證服務或加密檔案。 通常您完全不需要考慮憑證。 不過,您可能會看到一則訊息,告知您憑證已過期或無效。 在這些情況下,您應該遵循訊息中的指示。
什麼是證書頒發機構單位 (CA)?
證書頒發機構單位是發行憑證的組織。 他們會建立並驗證屬於人員或其他證書頒發機構單位的公鑰真實性,並驗證要求憑證的人員或組織身分識別。
什麼是憑證信任清單 (CTL)?
簽署郵件的收件者與郵件的簽署者之間必須存在信任。 建立此信任的其中一種方法是透過憑證,一份電子文件,確認實體或人員是他們聲稱身分的。 憑證是由其他雙方信任的第三方所簽發給實體。 因此,簽署訊息的每個收件者都會決定簽署者憑證的簽發者是否值得信任。 CryptoAPI 已實作方法,可讓應用程式開發人員建立應用程式,以針對預先定義的受信任憑證或根清單自動驗證憑證。 此信任實體清單(稱為主體)稱為憑證信任清單(CTL)。 如需詳細資訊,請參閱 MSDN 文章 憑證信任驗證。
造成問題的原因為何?
Microsoft 知道使用至少一個由 DigiNotar 簽發的詐騙數位證書進行主動式攻擊,這是信任跟證書授權單位存放區中存在的證書頒發機構單位。 詐騙憑證可用來詐騙內容、執行網路釣魚攻擊,或針對包括 Internet Explorer 用戶在內的所有網頁瀏覽器使用者執行中間人攻擊。 雖然這不是 Microsoft 產品中的弱點,但此問題會影響所有支援的 Microsoft Windows 版本。
攻擊者可能會使用弱點來執行哪些動作?
攻擊者可以使用這些憑證來詐騙內容、執行網路釣魚攻擊,或針對包括 Internet Explorer 使用者在內的所有網頁瀏覽器使用者執行中間人攻擊。
什麼是中間人攻擊?
當攻擊者透過攻擊者的計算機重新路由傳送兩位使用者之間的通訊,而不知道這兩個通訊使用者時,就會發生中間人攻擊。 通訊中的每個用戶都會不知情地將流量傳送到攻擊者,並接收來自攻擊者的流量,同時認為它們只會與預定的用戶通訊。
撤銷憑證的程序為何?
有一個標準程式應該允許證書頒發機構單位在使用憑證時無法接受。 每個憑證簽發者都會定期產生CRL,其中列出所有應該視為無效的憑證。 每個憑證都應該提供稱為CRL發佈點 (CDP) 的數據片段,以指出可取得CRL的位置。
Web 瀏覽器驗證數位證書身分識別的替代方式是使用在線憑證狀態通訊協定 (OCSP)。 OCSP 允許透過連線到由簽署數位證書的證書頒發機構單位 (CA) 所裝載的 OCSP 回應程式,來對憑證進行互動式驗證。 每個憑證都應該透過憑證中的授權單位資訊存取 (AIA) 延伸模組,提供 OCSP 回應程式位置的指標。 此外,OCSP 裝訂可讓網頁伺服器本身提供 OCSP 驗證回應給用戶端。
根據預設,在支援的 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 上,Internet Explorer 7 和更新版本的 Internet Explorer 會啟用 OCSP 驗證。 在這些操作系統上,如果 OCSP 驗證檢查失敗,瀏覽器會連絡 CRL 位置來驗證憑證。
如需證書吊銷檢查的詳細資訊,請參閱TechNet文章: 證書吊銷和狀態檢查。
什麼是證書吊銷清單 (CRL)?
CRL 是由 CA 簽發的數位簽署清單,其中包含 CA 所簽發的憑證清單,隨後由 CA 撤銷。 針對每個個別撤銷的憑證,清單會包含憑證的序號、撤銷憑證的日期,以及撤銷原因。 應用程式可以執行CRL檢查,以判斷呈現的憑證撤銷狀態。
什麼是CRL發佈點 (CDP)?
CDP 是憑證延伸模組,指出可以擷取 CA 的證書吊銷清單。 它可以包含無、一或多個 HTTP、檔案或 LDAP URL。
什麼是在線憑證狀態通訊協定 (OCSP)?
OCSP 是一種通訊協定,可實時驗證憑證的狀態。 一般而言,OCSP 回應者會根據從 CA 擷取的 CRL 回復撤銷狀態。
Microsoft 在協助解決此問題時,該怎麼做?
雖然此問題並非因任何 Microsoft 產品的問題而產生,但我們已更新憑證信任清單,以移除 DigiNotar 跟證書中的信任。 Microsoft 會繼續調查此問題,並可能會發行未來的更新來保護客戶。
如何? 知道我是否遇到無效的憑證錯誤?
當 Internet Explorer 遇到無效的憑證時,使用者會看到網頁,指出「此網站的安全性憑證有問題」。當出現此警告訊息時,建議使用者關閉網頁並離開網站。
只有在憑證判斷為無效時,使用者才會顯示此訊息,例如當使用者已啟用證書吊銷清單 (CRL) 或在線憑證狀態通訊協定 (OCSP) 驗證時。 根據預設,在支援的 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 上,Internet Explorer 7 和更新版本的 Internet Explorer 會啟用 OCSP 驗證。
建議的動作
針對支援的 Microsoft Windows 版本
大部分的客戶都已啟用自動更新,而且不需要採取任何動作,因為會自動下載並安裝KB2616676更新。 未啟用自動更新的客戶需要檢查更新,並手動安裝此更新。 如需自動更新中特定組態選項的相關信息,請參閱 Microsoft 知識庫文章294871。
對於系統管理員和企業安裝,或想要手動安裝KB2616676更新的使用者,Microsoft 建議客戶使用更新管理軟體立即套用更新,或使用 Microsoft Update 服務檢查更新。 如需如何手動套用更新的詳細資訊,請參閱 Microsoft 知識庫文章2616676。
雖然KB2616676更新會取代KB2607712更新,但KB2607712更新不是KB2616676更新的必要條件。 無論是否已套用KB2607712更新,客戶都應該套用KB2616676更新來解決此諮詢中所述的問題。 套用KB2616676更新的客戶不需要套用KB2607712更新。
其他建議的動作
保護您的電腦
我們繼續鼓勵客戶遵循我們的「保護您的計算機」指引,以啟用防火牆、取得軟體更新及安裝防病毒軟體。 客戶可以瀏覽 保護您的電腦,以深入瞭解這些步驟。
如需在因特網上保持安全的詳細資訊,請造訪 Microsoft Security Central。
讓 Microsoft 軟體更新保持更新
執行 Microsoft 軟體的使用者應套用最新的 Microsoft 安全性更新,以協助確保電腦盡可能受到保護。 如果您不確定您的軟體是否為最新狀態,請造訪 Microsoft Update、掃描您的電腦是否有可用的更新,並安裝您提供的任何高優先順序更新。 如果您已啟用自動更新並設定為提供 Microsoft 產品的更新,則更新會在發行時傳遞給您,但您應該確認它們已安裝。
其他資訊
Microsoft Active Protections 計劃 (MAPP)
為了改善客戶的安全性保護,Microsoft 會在每個每月安全性更新版本之前,為主要安全性軟體提供者提供弱點資訊。 然後,安全性軟體提供者可以使用此弱點資訊,透過其安全性軟體或裝置,例如防病毒軟體、網路型入侵檢測系統或主機型入侵預防系統,為客戶提供更新的保護。 若要判斷是否可從安全性軟體提供者取得主動保護,請流覽由計劃合作夥伴所提供的使用中保護網站,列在 Microsoft Active Protections 計劃 (MAPP) 合作夥伴中。
Feedback
- 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡,以提供意見反應。
支援
- 美國和加拿大的客戶可以從安全性支援收到技術支援。 如需可用支援選項的詳細資訊,請參閱 Microsoft 說明及支援。
- 國際客戶可以從其當地 Microsoft 子公司獲得支援。 如需如何連絡 Microsoft 以取得國際支持問題的詳細資訊,請造訪 國際支援。
- Microsoft TechNet 安全性 提供 Microsoft 產品中安全性的其他資訊。
免責聲明
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2011 年 8 月 29 日):已發佈諮詢。
- V2.0 (2011 年 8 月 29 日):已修訂以更正錯誤的諮詢編號。
- V3.0 (2011 年 9 月 6 日):已修訂以宣佈發行可解決此問題的更新。
- V4.0 (2011 年 9 月 13 日):修訂後宣布發行KB2616676更新,以解決此諮詢中所述的問題。
- V4.1 (2011 年 9 月 13 日):修訂後宣佈 Windows 開發人員預覽 版的KB2616676更新可用性。 如需詳細資訊,請參閱此諮詢中的更新常見問題。
- V5.0 (2011 年 9 月 19 日):修訂後宣佈重新發行KB2616676更新。 如需詳細資訊,請參閱此諮詢中的更新常見問題。
建置於 2014-04-18T13:49:36Z-07:00