计算机微软证书,微软证书服务器
成千上万的安全网站可能会在1月份开始向访问者显示证书错误,届时微软计划停止信任来自世界各地的20个证书颁发机构(ca)。
该计划从美国、法国、捷克、日本、丹麦、智利、土耳其、卢森堡、爱尔兰、斯洛文尼亚和巴西的运行证书列表中删除了微软可信根证书计划中属于CA的私有或国有企业。
从微软的搬迁计划来看,中科院还将从使用的每个浏览器(如谷歌Chrome、Internet Explorer和微软的edge)中删除Windows中的/TLS,以及从通过电子邮件客户端和支持通过SSL进行安全通信的应用程序的证书信任列表中删除。
当此类应用程序遇到网站或其他类型的服务器证书时,它们通过检查Windows证书存储中列出的CA是否经过签名,或者大多数人是否认可它是由中介颁发的,来验证其真实性。
因此,从Microsoft删除CA的受信任根证书课程证书将从根本上呈现所有链接回它的不受信任证书。这不仅是SSL/TLS证书,还用于验证软件程序已经由合法开发者发布,并且没有被代码签名证书修改。
微软将删除20个CA,因为它们要么自愿选择离开根项目,要么因为它们未能遵守6月份公布的更严格的技术和审计要求,微软企业和安全部门治理、风险管理和合规项目经理Aaron Kornblom周四在博客中表示。
目前,还不清楚有多少20个组织愿意让CA退役,但其中一些组织直到上周四才知道他们的证书已被标记为清除。
“我们没有从微软那里得到任何关于从MTRCP项目中删除我们的CA的信息,”Miroslav trVNek说,他是由国有捷克邮政运营的Post signum CA的项目经理。“我们的审计有效期到2016年12月,这是微软确认的,”他在电子邮件中说。
PostSignum提供网站的数字证书、电子邮件加密和公共机构通信所需的电子签名。这是Microsoft计划删除的CA的列表。
总部位于法国、在一个CA拥有7,000多名客户的Certigna了解了拆除计划。据CA母公司的首席执行官阿诺德杜博伊斯说,微软上周四发表了一项声明。
杜波依斯说,这是因为合同中没有考虑到一些变化,但这些变化是在到期日或下周初确定的。
Janick的Dhimyotis研发总监Leplard解释说,该公司应该签署微软在6月份承诺的新合同,以尊重CA遵循的一些良好做法。
“我们已经检查过了,似乎我们只收到了合同草案,因此微软从来没有离开过我们真正的合同,”他说。"我们有一份标明"仅适用于审查"的合同,所以我们在草案上签了字。"
CA根证书属于DanID,由丹麦公司Nets运营,也包括在拆除范围内。Net运行NemID,这是一种硬件认证系统,广泛应用于丹麦的网上银行、政府网站和私营公司运营的服务。
Nets没有立即回应置评请求。也没有Serasa Experian。领先的征信机构在巴西,还有美国金融服务公司富国银行,这两家公司都被判撤销多个证书。
贴吧。不被微软信任的爱尔兰Trust已经在其网站上通知客户,该公司已经停止发放SSL证书。这可能是CA主动退出项目的原因之一。
在声明中,该公司表示,“SSL证书通过邮政发行。信任在到期前仍然有效。”虽然这在技术上是对的,但是一旦微软删除了根证书,用户就会开始尝试使用Post颁发的证书访问网站。信任并看到一个错误。这同样适用于链接任何受信任的CA证书。
科恩布卢姆说:“如果你使用这些证书之一通过HTTPS安全地连接到服务器,当客户试图浏览你的网站时,客户将看到一条消息,表明安全证书有问题。”“如果您使用由这些证书之一签名的软件,当客户试图安装Windows操作系统软件时,Windows将显示警告,发行者可能不可信。在这两种情况下,客户都可以选择继续。”
尽管用户可以绕过安全警告并在浏览器选项中添加例外,但很可能很多人不会这样做。建议Microsoft证书的所有者联系要从其他供应商处删除的根,以获得替换。但是,他们可能必须首先联系他们当前的CA,并询问他们是否有任何解决此问题的计划。
在一份电子邮件声明中,微软代表澄清说,这一行动是一个不相关的行业工作,以逐步淘汰SHA-1签署的证书,即使所有被判拆除的根证书都有SHA-1签名。
该代表表示,有问题的根CA被删除是因为他们无法遵守微软的使用,以确保其业务的安全性,并满足行业标准的审计要求。公司几个月前就开始改变运营CA的相关程序,给他们足够的时间进行组织会谈。