Avec la portée croissante de l'exploitation numérique, Microsoft a annoncé qu’elle ne traiterait plus les certificats numériques d’une puissance inférieure à 1024 bits. En août 2012, Microsoft a publié un avis de sécurité selon lequel elle ne prendrait pas en charge les certificats numériques RSA à partir du 9 octobre 2012. Tu dois mettre à niveau vos certificats numériques RSA avant cette date, date limite de blocage des certificats faibles (moins de 1024 bits).
La plupart des certificats numériques utilisent l'algorithme RSA pour les certificats utilisés avec des sites Web, pour signer et chiffrer numériquement des fichiers. La force de l'algorithme RSA est basée sur le nombre de bits utilisés. Les certificats RSA identifient une personne, une organisation et des fichiers comme authentiques et originaux. Lorsqu'ils sont utilisés avec des e-mails et d'autres types de fichiers de données, les certificats numériques RSA permettent d'empêcher toute altération du contenu du fichier dans le sens où ils alerteront les utilisateurs en cas de manipulation des fichiers d'origine. Jusqu'à présent, la plupart des autorités de certification fournissaient des certificats numériques de moins de 1024 bits. Compte tenu de la base d'exploitation des ressources en ligne manipulées et exploitées, la société de logiciels déclare qu'il est grand temps que les administrateurs informatiques mettent à jour leurs certificats numériques RSA afin de protéger les utilisateurs de tout type de vulnérabilité.
Microsoft a déclaré qu'il fournirait une mise à jour automatique sur 9 octobre 2012 cela mettra à jour les systèmes d'exploitation et autres produits afin de ne pas reconnaître les sites Web et les éléments utilisant des certificats numériques RSA ayant une puissance inférieure à 1024 bits. Certains experts affirment que cette décision a été prise à la suite de l’exploitation de la gamme de systèmes d’exploitation Windows par des logiciels malveillants tels que Flame, etc. D'autres disent que Microsoft y travaillait depuis longtemps. Quelle que soit la raison, il est temps de dépoussiérer vos certificats numériques et de les améliorer à une puissance d'au moins 1024 bits. La force d'un certificat numérique RSA est mesurée en fonction du temps nécessaire pour décoder la clé privée du certificat. Pour renforcer la protection, les utilisateurs doivent renforcer les certificats.
Sachez que la société indique au minimum 1024 bits. Pour une meilleure protection et éviter toute mise à jour similaire dans un proche avenir, il est recommandé d'utiliser des forces supérieures à 2048 bits..
Que se passe-t-il si vous ne mettez pas à jour les certificats numériques RSA?
Vous recevrez des messages d'erreur du type indiqué ci-dessous et, pire encore, vos applications risquent de ne pas fonctionner correctement.
Il y a un problème avec le certificat de sécurité de ce site
Selon l’avis de sécurité Microsoft, la mise à jour n’affectera pas Windows 8 et Windows 2012 Server, car ils disposent déjà de la fonctionnalité intégrée permettant de bloquer les certificats RSA faibles d’une longueur inférieure à 1024 bits. Les autres systèmes d'exploitation et logiciels seront mis à jour le 9 octobre 2012 afin d'agir en conséquence - afin de bloquer les certificats RSA faibles. Vous trouverez ci-après certains problèmes auxquels les utilisateurs peuvent être confrontés si les certificats numériques RSA ne sont pas mis à jour (comme indiqué dans l'article 2661254 de la base de connaissances Microsoft):
- Les autorités de certification ne peuvent pas émettre de certificats RSA ayant moins de 1024 bits;
- Le processus d'autorisation de certification (certsvc) ne démarrera pas si le certificat numérique RSA est faible.
- Internet Explorer bloquera l'accès aux sites Web dotés de certificats numériques RSA faibles.
- Outlook 2010 ne pourra pas signer numériquement les e-mails et les utilisateurs ne pourront pas chiffrer leurs e-mails. Si le courrier électronique était déjà chiffré à l'aide d'un certificat RSA plus faible, il peut toujours être déchiffré après la mise à jour.
- Si les utilisateurs reçoivent un e-mail signé par un certificat numérique RSA de moins de 1024 bits, ils recevront une alerte indiquant que le certificat est douteux - en envoyant des signaux sur l'originalité et l'authenticité de l'e-mail;
- Outlook ne se connectera pas à Exchange Server avec des certificats RSA inférieurs à 1024 bits. Les utilisateurs verront une alerte indiquant que le certificat ne peut pas être approuvé et qu'il a donc été bloqué.
- Lors de l'installation de produits portant des certificats RSA faibles, les utilisateurs recevront un avertissement concernant le certificat, ce qui découragera les utilisateurs d'installer le produit «non approuvé».
- Selon l'avis, «Les ordinateurs System Center HP-UX PA-RISC utilisant un certificat RSA avec une longueur de clé de 512 bits généreront des alertes de pulsation et toute la surveillance des ordinateurs par Operations Manager échouera. Une «erreur de certificat SSL» sera également générée avec la description «Vérification du certificat signé.”Cliquez ici pour plus d'informations sur les ordinateurs RISC HP UX PA avec une longueur de clé de 512 bits.
L'équipe Microsoft TechNet a une discussion sur la FAQ détaillée et des actions suggérées sur son blog.
Comment détecter si le certificat RSA est faible
L'article de la base de connaissances 2661254 a suggéré la méthode suivante pour vérifier si vous détenez des certificats numériques RSA faibles.
Tous les certificats numériques RSA peuvent être ouverts en double-cliquant sur son icône. Les détails sur la certification peuvent être consultés sur l'onglet Détails une fois que vous avez ouvert le certificat numérique. Il devrait y avoir un champ intitulé "Clé publique" qui indique le nombre de bits utilisés par le certificat.
L'article 2661254 de l'article de la base de connaissances contient d'autres méthodes répertoriées. Je vous recommande également de consulter la méthode CAPI2. Cela vous aidera à identifier tous les certificats ayant une force de chiffrement faible. La méthode est décrite dans l'article 2661254 de la base de connaissances lié ci-dessus.
Solution de contournement pour accéder à des sites Web et à des programmes avec des certificats numériques RSA faibles
Bien qu'il ait fortement conseillé aux administrateurs informatiques de mettre à niveau leurs certificats numériques RSA avec un minimum de 1024 bits, Microsoft propose une solution de contournement pour accéder aux sites Web et aux programmes ayant des certificats numériques faibles. Cela signifie que les administrateurs peuvent mettre un certain temps à mettre à jour leurs certificats. Les utilisateurs peuvent donc utiliser la solution de contournement préconisée pour accéder aux certificats numériques RSA faibles, même lorsque les sites Web et les programmes sont en cours de renouvellement et de mise à niveau. La solution de contournement consiste à modifier le registre Windows. Consultez la section Autoriser les longueurs de clé inférieures à 1024 bits à l'aide des paramètres du registre sous RESOLUTIONS dans l'article de la base de connaissances lié afin d'ajuster le registre Windows à l'aide du certutil commander.
Notez qu'il y a deux sections: l'une dit RESOLUTIONS (pluriel) et l'autre RESOLUTION (singulier). Vous devez consulter la section RESOLUTIONS (pluriel) pour la solution de contournement afin d'autoriser temporairement les certificats numériques RSA faibles.
Microsoft fournit des mises à jour dans la section Résolution de l'article 2661254 de la base de connaissances. Ces correctifs mettent à jour votre système pour augmenter les niveaux de cryptage minimaux dans la gamme de systèmes d'exploitation Windows, de sorte que vous ne rencontriez pas de problèmes pour accéder à des certificats numériques RSA forts. Vérifiez le système d’exploitation mentionné par rapport aux correctifs (y compris 32 ou 64 bits) avant de les télécharger pour vous assurer que vous téléchargez la mise à jour correcte.
En résumé, les certificats numériques RSA âgés de 512 bits sont révolus. Vous devez renforcer les principaux atouts pour une meilleure protection contre l'exploitation de vos données.
