RECOMMANDÉ: Cliquez ici pour corriger les erreurs Windows et optimiser les performances du système

Avec l’augmentation des niveaux d’exploitation numérique, Microsoft est sorti avec la note qu’il ne gérera plus les certificats numériques de moins de 1024 bits. En août 2012, Microsoft a publié un avis de sécurité indiquant qu’elle ne prendra plus en charge les certificats RSA numériques à partir du 9 octobre 2012. Vous devez mettre à jour vos certificats numériques RSA avant cette date pour bloquer les certificats faibles (moins de 1024 bits).

La plupart des certificats numériques utilisent l’algorithme RSA pour les certificats utilisés sur les sites Web pour signer et chiffrer numériquement les fichiers. La force de l’algorithme RSA est basée sur le nombre de bits utilisés. Les certificats RSA identifient une personne, une organisation et des dossiers comme étant authentiques et originaux. Lorsqu’ils sont utilisés avec le courrier électronique et d’autres types de fichiers de données, les certificats RSA numériques empêchent la manipulation du contenu des fichiers dans le sens où ils avertissent l’utilisateur en cas de manipulation des fichiers originaux. Jusqu’à présent, la plupart des autorités de certification (AC) ont fourni des certificats numériques de moins de 1024 bits. Compte tenu de la base d’exploitation des actifs en ligne manipulés et exploités, la société de logiciels dit qu’il est grand temps que les administrateurs informatiques mettent à jour leurs certificats RSA numériques pour protéger les utilisateurs de tout type de vulnérabilité.

Microsoft a déclaré qu’elle fournira une mise à jour automatique le (11 octobre 2012 qui mettra à jour les systèmes d’exploitation et autres produits pour ne pas détecter les sites et les éléments utilisant des certificats numériques RSA de moins de 1024 bits. Certains experts disent que cette décision a été prise au cours de l’exploitation du système d’exploitation Windows par des logiciels malveillants tels que Flame, etc. D’autres disent que Microsoft y travaille depuis longtemps. Quelle qu’en soit la raison, il est temps de dépoussiérer vos certificats numériques et de les mettre à niveau à 1024 bits ou plus. La force d’un certificat RSA numérique est mesurée par le temps qu’il faut pour décrypter la clé privée du certificat. Afin d’assurer une meilleure protection, les gens doivent donner plus de force aux certificats.

Notez que la société spécifie au moins 1024 bits. Pour une meilleure protection et pour éviter des mises à jour similaires dans un avenir proche, il est recommandé d’utiliser des valeurs supérieures à 2048 bits.

Que se passe-t-il si vous ne mettez pas à jour les certificats RSA numériques

Vous recevez des messages d’erreur du type indiqué ci-dessous et pire, vos applications peuvent ne pas fonctionner correctement.

Il y a un problème avec le certificat de sécurité de ce site



L’avis de sécurité de Microsoft dit que la mise à jour n’affectera pas les serveurs Windows 8 et Windows 2012 parce qu’ils ont déjà la fonction intégrée pour bloquer les certificats RSA faibles de moins de 1024 bits de long. D’autres systèmes d’exploitation et logiciels seront mis à jour le 9 octobre 2012 pour agir en conséquence – pour bloquer les certificats RSA faibles. Voici quelques-uns des problèmes qui peuvent survenir si les certificats numériques RSA ne sont pas mis à jour (comme mentionné dans l’article 2661254 de Microsoft KB) :

1. Les autorités de certification ne peuvent pas délivrer des certificats RSA avec moins de 1024 bits ;
2. Le processus de certification (certsvc) ne démarrera pas si le certificat RSA numérique est faible ;
3. Internet Explorer bloque l’accès aux sites Web avec des certificats RSA numériques faibles ;
4. Outlook 2010 ne sera pas en mesure de signer numériquement les courriels et les utilisateurs ne pourront pas crypter les courriels. Si le courriel a déjà été chiffré avec un certificat RSA plus faible, il peut encore être déchiffré après la mise à jour ;
5. Si les utilisateurs reçoivent un courriel signé avec un certificat RSA numérique de moins de 1024 bits, ils reçoivent un avertissement que le certificat ne peut pas être fiable. Il s’agit de l’originalité et de l’authenticité du courriel ;
6. Outlook ne se connecte pas au serveur Exchange avec des certificats RSA inférieurs à 1024 bits. Les utilisateurs voient un avertissement que le certificat n’est pas fiable et donc bloqué ;
7. Lors de l’installation de produits avec des certificats RSA faibles, les utilisateurs reçoivent un avertissement de certificat qui les empêche d’installer le produit non fiable ;
8. Selon Advisory, les ordinateurs System Center HP-UX PA-RISC qui utilisent un certificat RSA avec une longueur de clé de 512 bits généreront des alertes de battement cardiaque et toutes les opérations de surveillance des ordinateurs échoueront. Une erreur de certificat SSL est également générée avec la description de la vérification du certificat signé. Cliquez ici pour plus d’informations sur les ordinateurs HP UX PA RISC avec une longueur de clé de 512 bits.

L’équipe de Microsoft TechNet discute des FAQ détaillées et des suggestions d’action dans son blog.

L’article 2661254 de l’OC a proposé la méthode suivante pour vérifier si vous avez des certificats RSA numériques faibles.

Tous les certificats RSA numériques peuvent être ouverts en double-cliquant sur l’icône. Les détails sur la certification peuvent être trouvés dans l’onglet Détails une fois que vous ouvrez le certificat numérique. Il devrait y avoir un champ appelé Clé publique qui affiche le nombre de bits utilisés par le certificat.

D’autres méthodes sont énumérées à l’article 2661254 du KB. Je recommande également la méthode CAPI2. Il vous aidera à identifier tous les certificats dont la force de cryptage est faible. La méthode est décrite dans l’article 2661254 de la KB lié ci-dessus.

Bien que les administrateurs informatiques soient fortement encouragés à mettre à jour leurs certificats numériques RSA avec un minimum de 1024 bits, Microsoft propose une solution de contournement pour accéder aux sites Web et aux programmes dont les certificats numériques sont faibles. Il dit que cela peut prendre un certain temps à tous les administrateurs pour mettre à jour leurs certificats, de sorte que les utilisateurs peuvent utiliser la solution de contournement nécessaire pour accéder à des certificats RSA numériques faibles, même lorsque les sites Web et les programmes renouvellent et mettent à jour leurs certificats. La solution consiste à modifier le registre de Windows. Pour optimiser le registre Windows avec la commande certutil, voir la section Longueur des clés de moins de 1024 bits avec les paramètres du registre sous RESOLUTIONS dans l’article KB lié.

Notez qu’il y a deux sections : l’une dit RESOLUTIONS (pluriel) et l’autre dit RESOLUTIONS. Vous devez consulter la section RESOLUTIONS (Pluriel) pour la solution de contournement afin d’activer temporairement les certificats numériques RSA faibles.

Microsoft fournit des mises à jour dans la section RESOLUTION de l’article 2661254 de la KB. Ces correctifs mettent à jour votre système pour augmenter les niveaux minimum de cryptage dans les systèmes d’exploitation Windows afin que vous n’ayez pas de problèmes d’accès aux certificats RSA numériques forts. Vérifiez le système d’exploitation mentionné pour les correctifs (y compris 32 ou 64 bits) avant de les télécharger pour vous assurer que vous téléchargez la mise à jour correcte.

En résumé, l’ère des certificats numériques RSA à 512 bits est révolue. Vous devez passer à des forces clés plus fortes pour mieux vous protéger contre l’exploitation de vos données.



RECOMMANDÉ: Cliquez ici pour dépanner les erreurs Windows et optimiser les performances du système