Kontaktujte nás: +420 603 196 637 (+420 603 1 ZONER) | djcechi@gmail.com

Magazín o bezpečnosti

Magazín o SSL certifikátech a certifikačních autoritách pro Vás píší odbornící z SSLmarketu.

Microsoft znefunkčnil serverové certifikáty 1. CA

(26.6.2015) V dnešním článku se zaměřujeme na aktuální problém, který vznikl po aktualizaci Microsoft Certificate Trust List (CTL) ve Windows a Windows serveru. Nepříjemně se dotýká uživatelů 1. CA (ICA.cz), kterým přestaly fungovat serverové certifikáty. Přesný důvod neznáme, avšak způsob provedení změny je netransparentní.

Microsoft Certificate Trust List a jeho aktualizace

Microsoft Certificate Trust List je seznam kořenových certifikátů autorit, kterému systémy Windows a Windows Server důvěřují. Jedná se o body důvěry, ke kterým se váží SSL certifikáty vydané světovými certifikačními autoritami. Prohlížeč při návštěvě webu kontroluje podpis vystavitele certifikátu, kterým je Intermediate certifikát. Tento Intermediate je autorita vystavující váš klientský (End-entity) certifikát a je podepsán kořenovým certifikátem certifikační autority. Ten je tzv. Self-signed (podepsaný sám sebou) a systém mu důvěřuje. Pokud jsou podpisy mezi certifikáty ověřeny, je certifikát serveru pravý a důvěřují mu i prohlížeče a ostatní programy běžící v systému.

V aktuálních verzích systémů Windows se seznam kořenových certifikátů aktualizuje automaticky. Microsoft určuje, které certifikační autority v něm budou mít své certifikáty a dohlíží i na bezpečnost tohoto seznamu. Případné úpravy kořenových certifikátů mohou potom proběhnout ze dne na den.

Záhadný update způsobil problémy

Dozvěděli jsme se, že zákazníci 1. Certifikační autority mají problém s nefunkčními serverovými certifikáty na Windows. Problém se projevuje od tichého updatu CTL z 23. června. Microsoft u kořenového certifikátu 1. Certifikační autority vypnul možnost použití pro Ověření serveru (Server Authentication). Tím způsobil, že systém Windows a prohlížeče na jeho CTL spoléhající nechtějí serverové certifikáty vydané 1. CA používat. Můžete se setkat s chybovými hlášeními jako NET::ERR_CERT_INVALID, sec_error_unknown_issuer nebo certifikát zabezpečení prezentovaný tímhle webem není zabezpečený.

1. CA - problém v Internet Exploreru

1.CA - problém v Internet Exploreru

Server Plaintextcity v článku June 23, 2015 Microsoft Certificate Trust List Update též zmiňuje tichý update a záhadné vypnutí Server Authentication u několika autorit a žehrá na absenci informací ze strany Microsoftu.

Proč se Microsoft rozhodl v červnu aktualizovat CTL a sebrat 1. Certifikační autoritě u kořenového certifikátu účel použití Server Authentication nevíme. Microsoft přestal zveřejňovat změny v Root certifikátech v prosinci 2012 a tiché aktualizace transparentnosti seznamu kořenových autorit neprospívají.

Není též jasné, proč se k tomuto kroku vůbec odhodlal a zdali se problém týká všech uživatelů Windows. Po příčině budeme dále pátrat a článek případně doplníme.

Spoléhejte raději na velké certifikační autority

Z uvedeného příkladu je zřejmé, že malá firma nemá proti velké korporaci jako Microsoft šanci. Vždy bude v podřízené pozici a mohou nastat podobné neřešitelné potíže. Doporučujeme proto pro své certifikáty volit největší a nejznámější certifikační autority jako Symantec, Thawte a GeoTrust. Jsem přesvědčen, že těmto autoritám se takový problém přihodit nemůže.

Zdroje:

  1. Support.microsoft.com - An update is available that enables administrators to update trusted and disallowed CTLs in disconnected environments in Windows
  2. Technet - Configure Trusted Roots and Disallowed Certificates
  3. plaintextcity.com - June 23, 2015 Microsoft Certificate Trust List Update (Unofficial)
  4. Internet

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz

Pole s hvězdičkou * jsou povinná.

Přidat komentář

Přehled komentářů

  • odpověď

    2. 7. 2015 8:42:06 | Zechmeister

    S tím Firefoxem jako řešením tedy nevím; 1. CA tam nikdy nebyla důvěryhodná

    Odpovědět

  • Nestihli termín

    2. 7. 2015 11:14:16 | Ozi

    I.CA nestihla dodat Microsoftu v termínu potřebnou dokumentaci. Proto byli vyřazeni. Údajně by se to mělo spravit do příštího čtvrtletí - v září.

    Odpovědět

  • Diky za clanek

    13. 7. 2015 16:17:07 | Harry

    Gratulace k článku, celý český internet se odkazuje na tento, nikdo jiný nic takového nesepsal dříve či lépe!
    Jinak z hlediska ICA amatérský šlendrián, který je stojí a bude stát zákazníky.

    Odpovědět

  • řešení

    29. 7. 2015 14:30:28 | MirekD.

    Do FF je nutno doinstalovat kořenový certifikát podle návodu na webu I.CA, pak to funguje bez problémů.
    v IE a Chrome to bude rozumně fungovat až po dalším MS updatu kořenových certifkátů, což podle vyjádření I.CA bude až začátkem příštího roku.
    I.CA zatím dává zákazníkům zdarma program, který pro doplní chybějící atribut Ověření serveru Microsoft úložišti certifkátů
    případně lze totéž ručně zakliknout v certmgr.msc
    pro veřejný server je vhodné přejít k jiné autoritě

    Odpovědět