V dnešním článku vás chceme informovat na aktuální problém, který vznikl po aktualizaci Microsoft Certificate Trust List (CTL) ve Windows a Windows serveru. Nepříjemně se dotýká uživatelů 1. CA (ICA.cz), kterým přestaly fungovat serverové certifikáty. Přesný důvod zatím neznáme, avšak způsob provedení změny je netransparentní.
Microsoft Certificate Trust List a jeho aktualizace
Microsoft Certificate Trust List je seznam kořenových certifikátů autorit, kterému systémy Windows a Windows Server důvěřují. Jedná se o body důvěry, ke kterým se váží SSL certifikáty vydané světovými certifikačními autoritami. Prohlížeč při návštěvě webu kontroluje podpis vystavitele certifikátu, kterým je Intermediate certifikát. Tento Intermediate je autorita vystavující váš klientský (End-entity) certifikát a je podepsán kořenovým certifikátem certifikační autority. Ten je tzv. Self-signed (podepsaný sám sebou) a systém mu důvěřuje. Pokud jsou podpisy mezi certifikáty ověřeny, je certifikát serveru pravý a důvěřují mu i prohlížeče a ostatní programy běžící v systému.
V aktuálních verzích systémů Windows se seznam kořenových certifikátů aktualizuje automaticky. Microsoft určuje, které certifikační autority v něm budou mít své certifikáty a dohlíží i na bezpečnost tohoto seznamu. Případné úpravy kořenových certifikátů mohou potom proběhnout ze dne na den.
Záhadný update způsobil problémy
Dozvěděli jsme se, že zákazníci 1. Certifikační autority mají problém s nefunkčními serverovými certifikáty na Windows. Problém se projevuje od tichého updatu CTL z 23. června. Microsoft u kořenového certifikátu 1. Certifikační autority vypnul možnost použití pro Ověření serveru (Server Authentication). Tím způsobil, že systém Windows a prohlížeče na jeho CTL spoléhající nechtějí serverové certifikáty vydané 1. CA používat. Můžete se setkat s chybovými hlášeními jako NET::ERR_CERT_INVALID, sec_error_unknown_issuer nebo certifikát zabezpečení prezentovaný tímhle webem není zabezpečený.
1.CA – problém v Internet Exploreru
Server Plaintextcity v článku June 23, 2015 Microsoft Certificate Trust List Update též zmiňuje tichý update a záhadné vypnutí Server Authentication u několika autorit a žehrá na absenci informací ze strany Microsoftu.
Proč se Microsoft rozhodl v červnu aktualizovat CTL a sebrat 1. Certifikační autoritě u kořenového certifikátu účel použití Server Authentication nevíme. Microsoft přestal zveřejňovat změny v Root certifikátech v prosinci 2012 a tiché aktualizace transparentnosti seznamu kořenových autorit neprospívají.
Není též jasné, proč se k tomuto kroku vůbec odhodlal a zdali se problém týká všech uživatelů Windows. Po příčině budeme dále pátrat a článek případně doplníme.
Spoléhejte raději na velké certifikační autority
Z uvedeného příkladu je zřejmé, že malá firma nemá proti velké korporaci jako Microsoft šanci. Vždy bude v podřízené pozici a mohou nastat podobné neřešitelné potíže. Doporučujeme proto pro své certifikáty volit největší a nejznámější certifikační autority jako Symantec, Thawte a GeoTrust. Jsem přesvědčen, že těmto autoritám se takový problém přihodit nemůže.
Zdroje:
- Support.microsoft.com – An update is available that enables administrators to update trusted and disallowed CTLs in disconnected environments in Windows
- Technet – Configure Trusted Roots and Disallowed Certificates
- plaintextcity.com – June 23, 2015 Microsoft Certificate Trust List Update (Unofficial)
- Internet
Převzato z blog.sslmarket.cz
Mohlo by vás také zajímat
-
Globální výpadek IT systémů: Může za to jediná aktualizace
19. července 2024 -
Užitečné nástroje pro bezpečnost na internetu
17. října 2024 -
Jak zabezpečit váš chytrý telefon před kybernetickými hrozbami
30. listopadu 2023 -
ZONER Webmail jako první v Česku přináší BIMI s VMC
11. července 2024
Nejnovější
-
Jak rozšířit úložiště Macu za pětinovou cenu?
16. prosince 2024 -
Nové trendy v doménách pro osobní projekty – DIY, LIVING a LIFESTYLE
9. prosince 2024 -
Jak chránit webové stránky před Web/AI Scrapingem
27. listopadu 2024 -
Jaký monitor je nejlepší k novému Macu Mini?
25. listopadu 2024