Aktuelle Entwicklungen im Bezug auf Zertifikatmanagement (August 2012)

Publiziert am 16. August 2012 von lkl-it

Das CA Browser Forum beschließt, dass kommerzielle Zertifikatanbieter keine Zertifikate mehr für interne Server (nicht von extern auflösbare DNS Namen) ausgeben sollen

Dies trifft vor allem die Ausstellung von SAN Zertifikaten (Subject Alternative Names = Zertifikate die für mehrere DNS Namen ausgestellt werden). Diese Zertifkate werden z.B. häufig für Exchange 2010 als Unified Gateway Zertifikate eingesetzt, um das Management interner und externer Exchange Ressourcne mit einem einzelnen Zertifikat zu vereinfachen.

Auch zukünftig befindet man sich daher auf der sicherern Seite, wenn man für interne Ressourcen den Aufbau einer unternehmenseigenen Public Key Infrastructure in Betracht zieht.

  • 1. July 2012 – All CA’s must warn customers that internal server names will be phased out from publicly recognized SSL certificates.
  • 1. July 2012 – All CA’s must ensure certificates issued with internal server names expire no later than the 1. November 2015.
  • 1. October 2016 – All CA’s must revoke/kill all certificates that is not expired and contain an internal server name.

Betroffen sind u.a. Zertifikate von:

  • Symantec Corporation / VeriSign
  • GlobalSign
  • GeoTrust Inc.
  • Comodo CA Ltd.
  • Entrust Inc.
  • DigiCert Inc.
  • DanID A/S / TDC
  • GoDaddy

Mehr dazu unter:

http://www.sole.dk/why-you-can-no-longer-just-have-one-ssl-certificate-with-all-the-servernames-included/ Blog von Sole Viktor (zuletzt abgerufen 20. September 2012)

Microsoft blockiert RSA Schlüssel unter 1024-Bit

Mit einem Windows Update Mitte August wurde in Windows XP, Windows Server 2003, Windows Server 2003 R2, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 die minimal nötige Schlüssellänge für RSA Zertifikate auf 1024-Bit erhöht.

Auswirkungen:

  • Fehlermeldungen im Internet Explorer bei SSL Webseiten die SSL Zertifikate mit kürzeren Schlüsseln als 1024-Bit verwenden
  • Kein Zertifikatenrollment unter RSA 1024-Bit
  • Keine Installation von Code-signierten Active X  Elementen, die mit einem Zertifkat unter 1024-Bit signiert wurden
  • Keine Installation von Anwendungen  die nach dem 1. Januar 2010 mit einem Zertifkat unter 1024-Bit signiert wurden

Mehr dazu im Windows PKI Blog unter:

http://blogs.technet.com/b/pki/archive/2012/06/12/rsa-keys-under-1024-bits-are-blocked.aspx

Mit dem certutil Tool können die Auswirkungen des Updates für einzelne Maschinen genauer konfiguriert bzw. deaktiviert werden:

Certutil -setreg chain\minRSAPubKeyBitLength 512

siehe auch:

http://blogs.technet.com/b/pki/archive/2012/07/13/blocking-rsa-keys-less-than-1024-bits-part-2.aspx

Dieser Beitrag wurde unter Allgemein veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.