Microsoft znefunkčnil serverové certifikáty 1. CA

26. 6. 2015 | Jindřich Zechmeister

V dnešním článku se zaměřujeme na aktuální problém, který vznikl po aktualizaci Microsoft Certificate Trust List (CTL) ve Windows a Windows serveru. Nepříjemně se dotýká uživatelů 1. CA (ICA.cz), kterým přestaly fungovat serverové certifikáty. Přesný důvod neznáme, avšak způsob provedení změny je netransparentní.

Microsoft Certificate Trust List a jeho aktualizace

Microsoft Certificate Trust List je seznam kořenových certifikátů autorit, kterému systémy Windows a Windows Server důvěřují. Jedná se o body důvěry, ke kterým se váží SSL certifikáty vydané světovými certifikačními autoritami. Prohlížeč při návštěvě webu kontroluje podpis vystavitele certifikátu, kterým je Intermediate certifikát. Tento Intermediate je autorita vystavující váš klientský (End-entity) certifikát a je podepsán kořenovým certifikátem certifikační autority. Ten je tzv. Self-signed (podepsaný sám sebou) a systém mu důvěřuje. Pokud jsou podpisy mezi certifikáty ověřeny, je certifikát serveru pravý a důvěřují mu i prohlížeče a ostatní programy běžící v systému.

V aktuálních verzích systémů Windows se seznam kořenových certifikátů aktualizuje automaticky. Microsoft určuje, které certifikační autority v něm budou mít své certifikáty a dohlíží i na bezpečnost tohoto seznamu. Případné úpravy kořenových certifikátů mohou potom proběhnout ze dne na den.

Záhadný update způsobil problémy

Dozvěděli jsme se, že zákazníci 1. Certifikační autority mají problém s nefunkčními serverovými certifikáty na Windows. Problém se projevuje od tichého updatu CTL z 23. června. Microsoft u kořenového certifikátu 1. Certifikační autority vypnul možnost použití pro Ověření serveru (Server Authentication). Tím způsobil, že systém Windows a prohlížeče na jeho CTL spoléhající nechtějí serverové certifikáty vydané 1. CA používat. Můžete se setkat s chybovými hlášeními jako NET::ERR_CERT_INVALID, sec_error_unknown_issuer nebo certifikát zabezpečení prezentovaný tímhle webem není zabezpečený.

1. CA - problém v Internet Exploreru

1.CA - problém v Internet Exploreru

Server Plaintextcity v článku June 23, 2015 Microsoft Certificate Trust List Update též zmiňuje tichý update a záhadné vypnutí Server Authentication u několika autorit a žehrá na absenci informací ze strany Microsoftu.

Proč se Microsoft rozhodl v červnu aktualizovat CTL a sebrat 1. Certifikační autoritě u kořenového certifikátu účel použití Server Authentication nevíme. Microsoft přestal zveřejňovat změny v Root certifikátech v prosinci 2012 a tiché aktualizace transparentnosti seznamu kořenových autorit neprospívají.

Není též jasné, proč se k tomuto kroku vůbec odhodlal a zdali se problém týká všech uživatelů Windows. Po příčině budeme dále pátrat a článek případně doplníme.

Spoléhejte raději na velké certifikační autority

Z uvedeného příkladu je zřejmé, že malá firma nemá proti velké korporaci jako Microsoft šanci. Vždy bude v podřízené pozici a mohou nastat podobné neřešitelné potíže. Doporučujeme proto pro své certifikáty volit největší a nejznámější certifikační autority jako Symantec, Thawte a GeoTrust. Jsem přesvědčen, že těmto autoritám se takový problém přihodit nemůže.

Zdroje:

  1. Support.microsoft.com - An update is available that enables administrators to update trusted and disallowed CTLs in disconnected environments in Windows
  2. Technet - Configure Trusted Roots and Disallowed Certificates
  3. plaintextcity.com - June 23, 2015 Microsoft Certificate Trust List Update (Unofficial)
  4. Internet

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz