デジタル活用の範囲が拡大するにつれて、マイクロソフト強度が 1024 ビット未満のデジタル証明書は今後受け付けないという勧告が出されました。 Microsoft は、RSA デジタル証明書をサポートしないというセキュリティ勧告を発行しました。必要があるRSA デジタル証明書をアップグレードするこの日付より前に、弱い証明書 (1024 ビット未満) をブロックする期限が設定されます。
ほとんどのデジタル証明書は、Web サイトで使用される証明書に RSA アルゴリズムを採用し、ファイルにデジタル署名して暗号化します。 RSA アルゴリズムの強度は、使用されるビット数に基づきます。 RSA 証明書は、個人、組織、ファイルが本物でオリジナルであることを識別します。 RSA デジタル証明書を電子メールやその他の種類のデータ ファイルで使用すると、元のファイルが操作された場合にユーザーに警告するという意味で、ファイルの内容の改ざんを防止できます。これまで、ほとんどの認証局 (CA) は 1024 ビット未満のデジタル証明書を提供していました。オンライン資産が悪用される基盤が操作され悪用されている現状を踏まえ、IT管理者があらゆる種類の脆弱性からユーザーを守るためにRSAデジタル証明書を更新する時期が来たと同社は述べている。
Microsoftは、1024ビット未満の強度のRSAデジタル証明書を使用するWebサイトやアイテムを認識できないようにオペレーティングシステムやその他の製品をアップデートする自動アップデートを2012年10月9日に提供すると発表した。一部の専門家は、この決定は、Flame などのマルウェアによる Windows オペレーティング システムの悪用を受けて行われたと述べています。また、Microsoft が長い間この問題に取り組んでいたと言う人もいます。理由が何であれ、デジタル証明書の汚れを取り除き、少なくとも 1024 ビットの強度にアップグレードする時期が来ました。 RSA デジタル証明書の強度は、証明書の秘密キーを復号化するのにかかる時間によって測定されます。より優れた保護を適用するには、証明書の強度をさらに高める必要があります。
同社は最小値を 1024 ビットとしていることに注意してください。保護を強化し、近い将来の同様のアップデートを回避するために、2048 ビット以上の強度を選択することをお勧めします。
RSA デジタル証明書を更新しないとどうなりますか?
次のようなエラー メッセージが表示されます。この Web サイトのセキュリティ証明書に問題がありますさらに悪いことに、アプリケーションが正しく動作しなくなる可能性があります。
この Web サイトのセキュリティ証明書に問題があります
Microsoft セキュリティ アドバイザリによると、Windows 10/8 および Windows 2012 Server には、長さが 1024 ビット未満の弱い RSA 証明書をブロックする機能がすでに組み込まれているため、このアップデートは影響しません。他のオペレーティング システムとソフトウェアは、脆弱な RSA 証明書をブロックするために、2012 年 10 月 9 日に更新されます。 RSA デジタル証明書が更新されていない場合に直面する可能性のある問題の一部を次に示します (Microsoft KB 記事 2661254 で説明されているとおり)。
- 認証局は 1024 ビット未満の RSA 証明書を発行できません。
- RSA デジタル証明書が弱い場合、認証承認プロセス (certsvc) は開始されません。
- Internet Explorer は、脆弱な RSA デジタル証明書を持つ Web サイトへのアクセスをブロックします。
- Outlook 2010 では電子メールにデジタル署名できなくなり、ユーザーは電子メールを暗号化できなくなります。電子メールが弱い RSA 証明書を使用してすでに暗号化されている場合、更新後も復号化できます。
- ユーザーが 1024 ビット未満の RSA デジタル証明書で署名された電子メールを受信すると、証明書が信頼できないことを示す警告が表示され、電子メールの独創性と信頼性に関するシグナルが送信されます。
- Outlook は、1024 ビット未満の RSA 証明書では Exchange Server に接続しません。ユーザーには、証明書が信頼できないためブロックされたことを示すアラートが表示されます。
- 脆弱な RSA 証明書を含む製品をインストールすると、ユーザーは「信頼できない」製品のインストールを思いとどまらせる証明書に関する警告を受け取ります。
- この勧告によれば、「キー長が 512 ビットの RSA 証明書を使用する System Center HP-UX PA-RISC コンピューターはハートビート アラートを生成し、コンピューターの Operations Manager 監視はすべて失敗します。 「SSL 証明書エラー」も生成され、「署名された証明書の検証」という説明が表示されます。」
RSA 証明書が弱いかどうかを検出する方法
KB 記事 2661254 では、弱い RSA デジタル証明書を保持しているかどうかを確認する次の方法が提案されています。
すべての RSA デジタル証明書は、アイコンをダブルクリックして開くことができます。デジタル証明書を開くと、[詳細] タブで証明書の詳細を確認できます。証明書で使用されているビット数を示す「公開キー」というラベルのフィールドがあるはずです。
アドバイザリ KB 記事 2661254 には、他にもいくつかの方法がリストされています。CAPI2 方法も確認することをお勧めします。これは、暗号強度が弱いすべての証明書を識別するのに役立ちます。この方法については、上記のリンク先の KB 記事 2661254 で説明されています。
脆弱な RSA デジタル証明書を使用して Web サイトやプログラムにアクセスするための回避策
IT 管理者に対し、RSA デジタル証明書を 1024 ビット以上にアップグレードするよう強く推奨していますが、Microsoft は、デジタル証明書が弱い Web サイトやプログラムにアクセスするための回避策を提供しています。すべての管理者が証明書を更新できるようになるまでには時間がかかる可能性があるため、Web サイトやプログラムが証明書を更新およびアップグレードしている間でも、ユーザーは所定の回避策を使用して脆弱な RSA デジタル証明書にアクセスできると述べています。回避策には、Windows レジストリを編集することが含まれます。リンクされた KB 記事の「解決策」にある「レジストリ設定を使用して 1024 ビット未満のキー長を許可する」セクションを確認して、証明書指示。
2 つのセクションがあることに注意してください。1 つは RESOLUTIONS (複数形) と表示され、もう 1 つは RESOLUTIONS (単数形) と表示されます。脆弱な RSA デジタル証明書を一時的に許可する回避策については、「解決策 (複数形)」セクションを確認する必要があります。
Microsoft は、KB 記事 2661254 のセクション「解決策」に基づいて更新プログラムを提供しています。これらのパッチはシステムを更新して、Windows オペレーティング システム範囲の最小暗号化レベルを引き上げ、強力な RSA デジタル証明書へのアクセスに問題が発生しないようにします。パッチをダウンロードする前に、記載されているオペレーティング システムをパッチ (32 ビットまたは 64 ビットを含む) と照合して、正しいアップデートをダウンロードしていることを確認してください。
要約すると、512 ビット RSA デジタル証明書の時代は終わりました。データの悪用に対する保護を強化するには、より強力なキー強度に移行する必要があります。
