NFsec Logo

Czy Twój certyfikat SSL spełnia wymagania Microsoftu?

09/10/2012 w Bezpieczeństwo, Techblog Brak komentarzy.  (artykuł nr 372, ilość słów: 218)

Ostrzeżenie od firmy Microsoft dla całego Internetu: upewnijcie się, że wasze certyfikaty posiadają co najmniej 1024 bity. Z dniem 9 października 2012 roku – tylko dłuższe klucze będą obowiązkowe dla wszystkich cyfrowych certyfikatów szyfrowania, które dotykają systemów Windows. Oznacza to, że Internet Explorer będzie odmawiał dostępu do stron internetowych, które nie mają kluczy RSA o minimum długości 1024 bitów. Z tego samego powodu w systemie Windows nie będzie można wymieniać zaszyfrowanych wiadomości, uruchamiać formatów ActiveX i instalować aplikacji.

Aktualnie długość 1024 bitów jest uważana za przestarzała. Narodowy Instytut Standardów i Technologii w swoim biuletynie 800-57 zaleca stosowania kluczy RSA o długości 2048 lub 3072 bitów. NIST przewiduje, że klucze o długości 2048 będą używane do 2030 roku, a następnie staną się podatne na atak brute force. Jeśli obsługujemy systemy Windows możemy zacząć od lektury jak znaleźć i zaktualizować słabe klucze.

Dla pewności odnośnie posiadanych certyfikatów możemy skorzystać z narzędzia OpenSSL i sprawdzić jakim algorytmem oraz kluczem został zaszyfrowany nasz certyfikat SSL dla strony, poczty lub serwera FTP:

openssl s_client -showcerts -connect www.host.pl:443
openssl s_client -showcerts -connect poczta.host.pl:995
openssl s_client -showcerts -connect ftp.host.pl:21

Więcej informacji: Microsoft Security Advisory (2661254)

Kategorie K a t e g o r i e : Bezpieczeństwo, Techblog

Tagi T a g i : , , ,

Zostaw odpowiedź.

Musisz być zalogowany by móc komentować.