Magazín o bezpečnosti

Magazín o SSL certifikátech a certifikačních autoritách pro Vás píší odbornící z SSLmarketu.

Microsoft znefunkčnil serverové certifikáty 1. CA

(26.6.2015) V dnešním článku se zaměřujeme na aktuální problém, který vznikl po aktualizaci Microsoft Certificate Trust List (CTL) ve Windows a Windows serveru. Nepříjemně se dotýká uživatelů 1. CA (ICA.cz), kterým přestaly fungovat serverové certifikáty. Přesný důvod neznáme, avšak způsob provedení změny je netransparentní.

Microsoft Certificate Trust List a jeho aktualizace

Microsoft Certificate Trust List je seznam kořenových certifikátů autorit, kterému systémy Windows a Windows Server důvěřují. Jedná se o body důvěry, ke kterým se váží SSL certifikáty vydané světovými certifikačními autoritami. Prohlížeč při návštěvě webu kontroluje podpis vystavitele certifikátu, kterým je Intermediate certifikát. Tento Intermediate je autorita vystavující váš klientský (End-entity) certifikát a je podepsán kořenovým certifikátem certifikační autority. Ten je tzv. Self-signed (podepsaný sám sebou) a systém mu důvěřuje. Pokud jsou podpisy mezi certifikáty ověřeny, je certifikát serveru pravý a důvěřují mu i prohlížeče a ostatní programy běžící v systému.

V aktuálních verzích systémů Windows se seznam kořenových certifikátů aktualizuje automaticky. Microsoft určuje, které certifikační autority v něm budou mít své certifikáty a dohlíží i na bezpečnost tohoto seznamu. Případné úpravy kořenových certifikátů mohou potom proběhnout ze dne na den.

Záhadný update způsobil problémy

Dozvěděli jsme se, že zákazníci 1. Certifikační autority mají problém s nefunkčními serverovými certifikáty na Windows. Problém se projevuje od tichého updatu CTL z 23. června. Microsoft u kořenového certifikátu 1. Certifikační autority vypnul možnost použití pro Ověření serveru (Server Authentication). Tím způsobil, že systém Windows a prohlížeče na jeho CTL spoléhající nechtějí serverové certifikáty vydané 1. CA používat. Můžete se setkat s chybovými hlášeními jako NET::ERR_CERT_INVALID, sec_error_unknown_issuer nebo certifikát zabezpečení prezentovaný tímhle webem není zabezpečený.

1. CA - problém v Internet Exploreru

1.CA - problém v Internet Exploreru

Server Plaintextcity v článku June 23, 2015 Microsoft Certificate Trust List Update též zmiňuje tichý update a záhadné vypnutí Server Authentication u několika autorit a žehrá na absenci informací ze strany Microsoftu.

Proč se Microsoft rozhodl v červnu aktualizovat CTL a sebrat 1. Certifikační autoritě u kořenového certifikátu účel použití Server Authentication nevíme. Microsoft přestal zveřejňovat změny v Root certifikátech v prosinci 2012 a tiché aktualizace transparentnosti seznamu kořenových autorit neprospívají.

Není též jasné, proč se k tomuto kroku vůbec odhodlal a zdali se problém týká všech uživatelů Windows. Po příčině budeme dále pátrat a článek případně doplníme.

Spoléhejte raději na velké certifikační autority

Z uvedeného příkladu je zřejmé, že malá firma nemá proti velké korporaci jako Microsoft šanci. Vždy bude v podřízené pozici a mohou nastat podobné neřešitelné potíže. Doporučujeme proto pro své certifikáty volit největší a nejznámější certifikační autority jako Symantec, Thawte a GeoTrust. Jsem přesvědčen, že těmto autoritám se takový problém přihodit nemůže.

Zdroje:

  1. Support.microsoft.com - An update is available that enables administrators to update trusted and disallowed CTLs in disconnected environments in Windows
  2. Technet - Configure Trusted Roots and Disallowed Certificates
  3. plaintextcity.com - June 23, 2015 Microsoft Certificate Trust List Update (Unofficial)
  4. Internet

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz

Pole s hvězdičkou * jsou povinná.

Přidat komentář

Přehled komentářů

  • I.CA na Daňovém portálu

    26. 6. 2015 23:48:31 | Michal Špaček

    I.CA ma svém webu pořád tvrdí, že "Kořenové certifikáty I.CA jsou v současné době automatickou součástí prohlížeče MS Internet Explorer." https://www.ica.cz/Komercni-certifikat-pro-server a u mě to tak zatím opravdu je. Jejich root cert u mě má pořád Server Authenticate.

    S touhle informací jsem se kupodivu setkal nejdřív na Daňovém portálu, kde píšou "Dle informací společnosti I.CA dojde po provedení aktualizace Microsoft Windows po 20. 6. 2015, k odebrání vlastnosti „ServerAuthenticate“ u kořenových certifikátů společností I.CA."
    http://adisspr.mfcr.cz/adistc/adis/idpr_pub/dpr_info/aktualita.faces?zaznam=115

    Takže I.CA by sama mohla něco vědět, neptal jsem se.

    Odpovědět

  • A reseni?

    29. 6. 2015 14:09:01 | Petr Lhota

    Ok, a jake mam tedy jako navstevnik moznosti? Ani pres IE11 po poslednich update win7 nejsem schopen zobrazit https://zakazky.spucr.cz/ ci https://www.egordion.cz/? Diky, Petr.

    Odpovědět

  • odpověď

    29. 6. 2015 14:15:23 | Zechmeister

    Dobrý den,

    ad 1. dotaz - dozvěděl jsem se tuto informaci úplně poprvé od našeho zákazníka, který byl informován 1. CA. Na webu se s tím nechlubí a uvidíme, jestli budou sdílnější o důvodech. Podle nich je to "jen" na 1/2 nebo 3/4 roku. Certifikáty se aktualizují ve Windows automaticky a je otázka, kdy se to u Vás projeví.

    ad 2. dotaz - provozovatel by měl nejlépe zareagovat výměnou certifikátu. Jeho návštěvník by to zřejmě mohl vyřešit opětovným povolením ServerAuthenticate u certifikátu, ale zřejmě se to vrátí zpět.

    Odpovědět

  • Řešení

    1. 7. 2015 16:56:29 | Venca

    Řešením je např. použít jiný prohlížeč (Firefox portable funguje) nebo ve vlastnostech příslušného I.CA certifikátu (certifikát pro počítač přes MMC konzolu) zaškrtnout Ověření certifikátu v účelu certifikátu - to je přesně to, co MS odškrtl v I.CA certifikátech. Poté je to funkční i na MSIE. Ověřeno na Win 7, IE11.

    Odpovědět

  • Řešení - oprava

    1. 7. 2015 16:57:53 | Venca

    pardon za překlep - zaškrtnout Ověření serveru

    Odpovědět