Úvodní stránka » Seznam článků » Certifikační autority a CA/B fórum » Microsoft znefunkčnil serverové certifikáty 1. CA

Microsoft znefunkčnil serverové certifikáty 1. CA

(26.6.2015) V dnešním článku se zaměřujeme na aktuální problém, který vznikl po aktualizaci Microsoft Certificate Trust List (CTL) ve Windows a Windows serveru. Nepříjemně se dotýká uživatelů 1. CA (ICA.cz), kterým přestaly fungovat serverové certifikáty. Přesný důvod neznáme, avšak způsob provedení změny je netransparentní.

Microsoft Certificate Trust List a jeho aktualizace

Microsoft Certificate Trust List je seznam kořenových certifikátů autorit, kterému systémy Windows a Windows Server důvěřují. Jedná se o body důvěry, ke kterým se váží SSL certifikáty vydané světovými certifikačními autoritami. Prohlížeč při návštěvě webu kontroluje podpis vystavitele certifikátu, kterým je Intermediate certifikát. Tento Intermediate je autorita vystavující váš klientský (End-entity) certifikát a je podepsán kořenovým certifikátem certifikační autority. Ten je tzv. Self-signed (podepsaný sám sebou) a systém mu důvěřuje. Pokud jsou podpisy mezi certifikáty ověřeny, je certifikát serveru pravý a důvěřují mu i prohlížeče a ostatní programy běžící v systému.

V aktuálních verzích systémů Windows se seznam kořenových certifikátů aktualizuje automaticky. Microsoft určuje, které certifikační autority v něm budou mít své certifikáty a dohlíží i na bezpečnost tohoto seznamu. Případné úpravy kořenových certifikátů mohou potom proběhnout ze dne na den.

Záhadný update způsobil problémy

Dozvěděli jsme se, že zákazníci 1. Certifikační autority mají problém s nefunkčními serverovými certifikáty na Windows. Problém se projevuje od tichého updatu CTL z 23. června. Microsoft u kořenového certifikátu 1. Certifikační autority vypnul možnost použití pro Ověření serveru (Server Authentication). Tím způsobil, že systém Windows a prohlížeče na jeho CTL spoléhající nechtějí serverové certifikáty vydané 1. CA používat. Můžete se setkat s chybovými hlášeními jako NET::ERR_CERT_INVALID, sec_error_unknown_issuer nebo certifikát zabezpečení prezentovaný tímhle webem není zabezpečený.

1. CA - problém v Internet Exploreru

1.CA - problém v Internet Exploreru

Server Plaintextcity v článku June 23, 2015 Microsoft Certificate Trust List Update též zmiňuje tichý update a záhadné vypnutí Server Authentication u několika autorit a žehrá na absenci informací ze strany Microsoftu.

Proč se Microsoft rozhodl v červnu aktualizovat CTL a sebrat 1. Certifikační autoritě u kořenového certifikátu účel použití Server Authentication nevíme. Microsoft přestal zveřejňovat změny v Root certifikátech v prosinci 2012 a tiché aktualizace transparentnosti seznamu kořenových autorit neprospívají.

Není též jasné, proč se k tomuto kroku vůbec odhodlal a zdali se problém týká všech uživatelů Windows. Po příčině budeme dále pátrat a článek případně doplníme.

Spoléhejte raději na velké certifikační autority

Z uvedeného příkladu je zřejmé, že malá firma nemá proti velké korporaci jako Microsoft šanci. Vždy bude v podřízené pozici a mohou nastat podobné neřešitelné potíže. Doporučujeme proto pro své certifikáty volit největší a nejznámější certifikační autority jako Symantec, Thawte a GeoTrust. Jsem přesvědčen, že těmto autoritám se takový problém přihodit nemůže.

Zdroje:

  1. Support.microsoft.com - An update is available that enables administrators to update trusted and disallowed CTLs in disconnected environments in Windows
  2. Technet - Configure Trusted Roots and Disallowed Certificates
  3. plaintextcity.com - June 23, 2015 Microsoft Certificate Trust List Update (Unofficial)
  4. Internet

Bc. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz

Přidat komentář

Zvýrazněné položky jsou povinné.

Přehled komentářů

  1. I.CA na Daňovém portálu (Michal Špaček, 26.6.2015 23:48:31) Odpovědět

    I.CA ma svém webu pořád tvrdí, že "Kořenové certifikáty I.CA jsou v současné době automatickou součástí prohlížeče MS Internet Explorer." https://www.ica.cz/Komercni-certifikat-pro-server a u mě to tak zatím opravdu je. Jejich root cert u mě má pořád Server Authenticate.

    S touhle informací jsem se kupodivu setkal nejdřív na Daňovém portálu, kde píšou "Dle informací společnosti I.CA dojde po provedení aktualizace Microsoft Windows po 20. 6. 2015, k odebrání vlastnosti „ServerAuthenticate“ u kořenových certifikátů společností I.CA."
    http://adisspr.mfcr.cz/adistc/adis/idpr_pub/dpr_info/aktualita.faces?zaznam=115

    Takže I.CA by sama mohla něco vědět, neptal jsem se.

  2. A reseni? (Petr Lhota, 29.6.2015 14:09:01) Odpovědět

    Ok, a jake mam tedy jako navstevnik moznosti? Ani pres IE11 po poslednich update win7 nejsem schopen zobrazit https://zakazky.spucr.cz/ ci https://www.egordion.cz/? Diky, Petr.

  3. odpověď (Zechmeister, 29.6.2015 14:15:23) Odpovědět

    Dobrý den,

    ad 1. dotaz - dozvěděl jsem se tuto informaci úplně poprvé od našeho zákazníka, který byl informován 1. CA. Na webu se s tím nechlubí a uvidíme, jestli budou sdílnější o důvodech. Podle nich je to "jen" na 1/2 nebo 3/4 roku. Certifikáty se aktualizují ve Windows automaticky a je otázka, kdy se to u Vás projeví.

    ad 2. dotaz - provozovatel by měl nejlépe zareagovat výměnou certifikátu. Jeho návštěvník by to zřejmě mohl vyřešit opětovným povolením ServerAuthenticate u certifikátu, ale zřejmě se to vrátí zpět.

  4. Řešení (Venca, 1.7.2015 16:56:29) Odpovědět

    Řešením je např. použít jiný prohlížeč (Firefox portable funguje) nebo ve vlastnostech příslušného I.CA certifikátu (certifikát pro počítač přes MMC konzolu) zaškrtnout Ověření certifikátu v účelu certifikátu - to je přesně to, co MS odškrtl v I.CA certifikátech. Poté je to funkční i na MSIE. Ověřeno na Win 7, IE11.

  5. Řešení - oprava (Venca, 1.7.2015 16:57:53) Odpovědět

    pardon za překlep - zaškrtnout Ověření serveru

  6. odpověď (Zechmeister, 2.7.2015 8:42:06) Odpovědět

    S tím Firefoxem jako řešením tedy nevím; 1. CA tam nikdy nebyla důvěryhodná

  7. Nestihli termín (Ozi, 2.7.2015 11:14:16) Odpovědět

    I.CA nestihla dodat Microsoftu v termínu potřebnou dokumentaci. Proto byli vyřazeni. Údajně by se to mělo spravit do příštího čtvrtletí - v září.

  8. Diky za clanek (Harry, 13.7.2015 16:17:07) Odpovědět

    Gratulace k článku, celý český internet se odkazuje na tento, nikdo jiný nic takového nesepsal dříve či lépe!
    Jinak z hlediska ICA amatérský šlendrián, který je stojí a bude stát zákazníky.

  9. řešení (MirekD., 29.7.2015 14:30:28) Odpovědět

    Do FF je nutno doinstalovat kořenový certifikát podle návodu na webu I.CA, pak to funguje bez problémů.
    v IE a Chrome to bude rozumně fungovat až po dalším MS updatu kořenových certifkátů, což podle vyjádření I.CA bude až začátkem příštího roku.
    I.CA zatím dává zákazníkům zdarma program, který pro doplní chybějící atribut Ověření serveru Microsoft úložišti certifkátů
    případně lze totéž ručně zakliknout v certmgr.msc
    pro veřejný server je vhodné přejít k jiné autoritě


Rubriky

  • Aktuality
  • Novinky ze SSLmarketu
  • Bezpečnost
  • Zajímavosti o SSL
  • Návody k SSL
  • Týden v bezpečnosti
  • Speciály

  • Jak šifrovaně tunelovat s OpenVPN
  • Dvoufaktorová autentizace
  • Spojte se s námi

  • RSS kanál SSL blogu
  • SSLmarket na Facebooku
  • SSLmarket na Twitteru
  • SSLmarket na Google+
  • Kontakt
  • SSL market