Com o escopo da exploração digital aumentando, Microsoft saiu com um alerta de que não mais entraria em certificados digitais de força inferior a 1024 bits. Em agosto de 2012, a Microsoft emitiu um comunicado de segurança de que não suportaria certificados digitais da RSA a partir de 9 de outubro de 2012. Você precisa atualizar seus certificados digitais RSA antes dessa data, a data limite para bloquear certificados fracos (menos de 1024 bits).
A maioria dos certificados digitais emprega o algoritmo RSA para certificados usados em sites, para assinar digitalmente e criptografar arquivos. A força do algoritmo RSA é baseada no número de bits usados. Os certificados RSA identificam um indivíduo, organização e arquivos como autênticos e originais. Quando usados com emails e outros tipos de arquivos de dados, os certificados digitais da RSA permitem a prevenção da violação do conteúdo do arquivo, no sentido de que eles alertarão os usuários em caso de manipulação de arquivos originais. Até agora, a maioria das autoridades de certificação (CA) fornecia certificados digitais com menos de 1024 bits. Dada a base de exploração dos ativos online que estão sendo manipulados e explorados, a empresa de software diz que é hora de os administradores de TI atualizarem seus certificados digitais RSA para proteger os usuários de qualquer tipo de vulnerabilidade.
A Microsoft disse que irá fornecer uma atualização automática sobre 9 de outubro de 2012 que atualizará sistemas operacionais e outros produtos para não reconhecer sites e itens usando certificados digitais RSA com menos de 1024 bits de força. Alguns especialistas dizem que esta decisão veio na sequência da exploração da gama de sistemas operacionais Windows por malwares como o Flame, etc. Outros dizem que a Microsoft estava trabalhando nisso há muito tempo. Qualquer que seja a razão, é hora de limpar seus certificados digitais e atualizá-los com uma força de pelo menos 1024 bits. A força de um certificado digital RSA é medida pelo tempo necessário para decodificar a chave privada do certificado. Para reforçar a proteção, as pessoas precisam adicionar mais força aos certificados.
Esteja ciente de que a empresa declara 1024 bits como mínimo. Para uma melhor proteção e para evitar atualizações semelhantes em um futuro próximo, recomenda-se que você use forças acima de 2048 bits.
O que acontece se você não atualizar os certificados digitais da RSA?
Você receberá mensagens de erro do tipo mostrado abaixo e, pior, seus aplicativos podem não funcionar corretamente.
Existe um problema com o certificado de segurança deste site
De acordo com o Comunicado de Segurança da Microsoft, a atualização não afetará o Windows 8 e o Windows 2012 Server, pois eles já possuem o recurso embutido para bloquear certificados RSA fracos com menos de 1024 bits. Outros sistemas operacionais e softwares serão atualizados em 9 de outubro de 2012 para agir de acordo - para bloquear certificados RSA fracos. A seguir, alguns dos problemas que as pessoas podem enfrentar se os certificados digitais da RSA não forem atualizados (conforme mencionado no artigo 2661254 da Base de Dados da Microsoft):
- As autoridades de certificação não podem emitir certificados RSA com menos de 1024 bits;
- O processo de autorização de certificação (certsvc) não será iniciado se o certificado digital RSA for fraco;
- O Internet Explorer bloqueará o acesso a sites com certificados digitais RSA fracos;
- O Outlook 2010 não poderá assinar e-mails digitalmente e os usuários não poderão criptografar e-mails. Se o email já tiver sido criptografado usando um certificado RSA mais fraco, ele ainda poderá ser descriptografado após a atualização;
- Se os usuários receberem um e-mail assinado pelo certificado digital RSA com menos de 1024 bits, receberão um alerta dizendo que o certificado não é confiável - enviando sinais sobre a originalidade e a autenticidade do e-mail;
- O Outlook não se conectará ao Exchange Server com certificados RSA menores que 1024 bits. Os usuários verão um alerta dizendo que o certificado não é confiável e, portanto, foi bloqueado;
- Ao instalar produtos com certificados RSA fracos, os usuários receberão um aviso sobre o certificado que desencorajará os usuários a instalar o produto “não confiável”;
- Segundo o Advisory, “Os computadores PA-RISC do System Center HP-UX que usam um certificado RSA com um comprimento de chave de 512 bits geram alertas de pulsação e todo o monitoramento dos computadores do Operations Manager falhará. Um "SSL Certificate Error" também será gerado com a descrição "verificação de certificado assinada.”Clique aqui para obter mais informações sobre computadores HP UX PA RISC com comprimento de chave de 512 bits.
A equipe do Microsoft TechNet tem uma discussão detalhada sobre FAQ e ações sugeridas em seu blog.
Como detectar se o certificado RSA é fraco
O artigo 2661254 da KB sugeriu o seguinte método para verificar se você possui algum certificado digital RSA fraco.
Todos os certificados digitais RSA podem ser abertos clicando duas vezes em seu ícone. Detalhes sobre a certificação podem ser exibidos na guia Detalhes assim que você abrir o certificado digital. Deve haver um campo rotulado como "Chave pública" que mostra o número de bits sendo usado pelo certificado.
Existem alguns outros métodos listados no artigo consultivo 2661254 KB. Eu recomendo que você verifique o método CAPI2 também. Isso ajudará você a identificar todos os certificados com uma força de codificação fraca. O método é descrito no artigo KB 2661254 ligado acima.
Solução alternativa para acessar sites e programas com certificados digitais RSA frágeis
Embora tenha recomendado fortemente que os administradores de TI atualizem seus certificados digitais RSA com um mínimo de 1024 bits, a Microsoft está oferecendo uma alternativa para acessar sites e programas com certificados digitais fracos. Ele diz que pode levar algum tempo até que todos os administradores possam atualizar seus certificados e, portanto, os usuários possam usar a solução prescrita para acessar os certificados digitais RSA, mesmo que os sites e programas estejam renovando e atualizando seus certificados. A solução envolve a edição do registro do Windows. Confira a seção Permitir comprimentos de chave de menos de 1024 bits usando as configurações do Registro em RESOLUÇÕES no artigo do KB vinculado para ajustar o registro do Windows usando o certutil comando.
Note que existem duas seções: uma diz RESOLUÇÕES (plural) e a outra diz RESOLUÇÃO (singular). Você precisa verificar a seção RESOLUTIONS (plural) para obter uma solução temporária para permitir certificados digitais RSA fracos.
A Microsoft está fornecendo atualizações na seção RESOLUTION do artigo 2661254 da Base de conhecimento. Essas atualizações atualizam seu sistema para aumentar os níveis mínimos de criptografia no intervalo de sistemas operacionais Windows, para que você não enfrente problemas ao acessar certificados digitais RSA. Verifique o sistema operacional mencionado em relação aos patches (incluindo 32 ou 64 bits) antes de baixá-los para verificar se você está fazendo o download da atualização correta.
Em suma, a idade dos certificados digitais RSA de 512 bits acabou. Você precisa passar para pontos fortes mais fortes para melhor proteção contra a exploração de seus dados.
