Atualizar Certificados Digitais RSA – 1024 Bits não mais suportados

Atualizado em April 2024: Pare de receber mensagens de erro que tornam seu sistema mais lento, utilizando nossa ferramenta de otimização. Faça o download agora neste link aqui.

1. Faça o download e instale a ferramenta de reparo aqui..
2. Deixe o software escanear seu computador.
3. A ferramenta irá então reparar seu computador.

Com o alcance da exploração digital a aumentar,
Microsoft
emitiu um aviso de que não irá mais entreter certificados digitais com menos de 1024 bits de força.
Em agosto de 2012, a Microsoft emitiu um aviso de segurança que não suportará certificados digitais RSA a partir de 9 de outubro de 2012.
Você precisa
atualizar seus certificados digitais RSA
antes dessa data, a data limite para bloquear certificados fracos (menos de 1024 bits).

A maioria dos certificados digitais emprega o algoritmo RSA para certificados usados com sites, para assinar e criptografar arquivos digitalmente. A força do algoritmo RSA é baseada no número de bits usados. Os certificados RSA identificam um indivíduo, uma organização e arquivos como sendo autênticos e originais. Quando usados com e-mails e outros tipos de arquivos de dados, os certificados digitais RSA permitem a prevenção de adulteração do conteúdo do arquivo, de modo que eles alertarão os usuários em caso de manipulação de arquivos originais. Até agora, a maioria das autoridades de certificação (CA) fornecia certificados digitais com menos de 1024 bits. Dada a base de exploração de ativos online sendo manipulados e explorados, a empresa de software diz que é hora dos administradores de TI atualizarem seus certificados digitais RSA para proteger os usuários de qualquer tipo de vulnerabilidade.

Microsoft disse que ele irá fornecer uma atualização automática sobre
9 de outubro de 2012
que irá atualizar sistemas operacionais e outros produtos para não reconhecer sites e itens usando certificados digitais da RSA com menos de 1024 bits de força. Alguns especialistas dizem que essa decisão foi tomada após a exploração da gama de sistemas operacionais Windows por malware de empresas como a Flame, etc. Outros dizem que a Microsoft estava trabalhando nisso há muito tempo. Qualquer que seja a razão, é hora de tirar o pó dos seus certificados digitais e atualizá-los para uma força de pelo menos 1024 bits. A força de um certificado digital RSA é medida pelo tempo necessário para decodificar a chave privada do certificado. Para reforçar uma melhor proteção, as pessoas precisam adicionar mais força aos certificados.

Esteja ciente de que a empresa declara 1024 bits como mínimo. Para uma melhor proteção e para evitar atualizações similares em um futuro próximo, recomenda-se que você vá para pontos fortes acima de 2048 bits
…Arkansas.

O que acontece se você não atualizar os certificados digitais da RSA?

 
Você receberá mensagens de erro do tipo mostrado abaixo e, pior ainda, seus aplicativos podem não funcionar corretamente.

Há um problema com o certificado de segurança deste site



De acordo com a Microsoft Security Advisory, a atualização não afetará o Windows 8 e o Windows 2012 Server, pois eles já têm o recurso incorporado para bloquear certificados RSA fracos que têm menos de 1024 bits de comprimento. Outros sistemas operacionais e software serão atualizados em 9 de outubro de 2012 para agir em conformidade – para bloquear certificados RSA fracos. A seguir estão alguns dos problemas que as pessoas podem enfrentar se os certificados digitais RSA não forem atualizados (Como mencionado no artigo 2661254 do KB da Microsoft):

1. As autoridades de certificação não podem emitir certificados RSA com menos de 1024 bits;
2. O processo de Autorização de Certificação (certsvc) não será iniciado se o certificado digital RSA for fraco;
3. Internet Explorer irá bloquear o acesso a sites com certificados digitais RSA fracos;
4. O Outlook 2010 não será capaz de assinar e-mails digitalmente e os usuários não serão capazes de criptografar e-mails. Se o e-mail já foi criptografado usando um certificado RSA mais fraco, ele ainda pode ser descriptografado após a atualização;
5. Se os usuários receberem um e-mail assinado por um certificado digital RSA inferior a 1024 bits, eles receberão um alerta dizendo que o certificado não é confiável – enviando sinais sobre a originalidade e autenticidade do e-mail;
6. O Outlook não se conectará ao Exchange Server com certificados RSA inferiores a 1024 bits. Os usuários verão um alerta dizendo que o certificado não é confiável e, portanto, foi bloqueado;
7. Ao instalar produtos com certificados RSA fracos, os usuários receberão avisos sobre o certificado que desencorajará os usuários a instalar o produto não confiável;
8. De acordo com o Advisory,
   Os computadores HP-UX PA-RISC do System Center HP-UX que utilizam um certificado RSA com um comprimento de chave de 512 bits irão gerar alertas de batimentos cardíacos e toda a monitorização do Operations Manager dos computadores irá falhar. Um erro de certificado SSL também será gerado com a descrição da verificação do certificado assinado
   . Clique aqui para mais informações sobre computadores HP UX PA RISC com 512 bits de comprimento de chave.

A equipe do Microsoft TechNet tem uma discussão sobre FAQs detalhadas e ações sugeridas em seu blog.

Como detectar se o certificado RSA é fraco

O artigo 2661254 do KB sugeriu o seguinte método para verificar se você possui algum certificado digital RSA fraco.

Todos os certificados digitais RSA podem ser abertos clicando duas vezes no seu ícone. Detalhes sobre a certificação podem ser visualizados na guia Detalhes depois que você abrir o certificado digital. Deve haver um campo chamado Chave Pública que mostre o número de bits usados pelo certificado.

Existem alguns outros métodos listados no artigo 2661254 do Advisory KB. Eu recomendo que você verifique o método CAPI2 também. Ele irá ajudá-lo a identificar todos os certificados que têm uma força de cifra fraca. O método é descrito no artigo 2661254 do KB acima ligado.

Solução alternativa para acessar sites e programas com certificados digitais RSA fracos

Embora tenha aconselhado fortemente aos administradores de TI a atualizar seus certificados digitais RSA com um mínimo de 1024 bits, a Microsoft está fornecendo uma solução alternativa para acessar sites e programas com certificados digitais fracos. Ele diz que pode levar algum tempo até que todos os administradores possam atualizar seus certificados e, portanto, os usuários podem usar a solução alternativa prescrita para acessar certificados digitais RSA fracos, mesmo que os sites e programas estejam renovando e atualizando seus certificados. A solução alternativa implica editar o Registro de Windows. Confira a seção Permitir comprimentos de chave inferiores a 1024 bits usando as configurações do Registro em RESOLUÇÕES no artigo KB vinculado para ajustar o registro do Windows usando o
certutil
comando.

Note que há duas seções: uma diz RESOLUÇÕES (plural) e a outra diz RESOLUÇÃO (singular). Você precisa verificar a seção RESOLUTIONS (plural) para a solução alternativa para permitir que certificados digitais RSA fracos sejam temporariliy.

A Microsoft está fornecendo atualizações na seção RESOLUÇÃO do artigo 2661254 do KB. Esses patches atualizam seu sistema para aumentar os níveis mínimos de criptografia na faixa de sistemas operacionais Windows, para que você não tenha problemas para acessar certificados digitais RSA fortes. Verifique o sistema operacional mencionado em relação aos patches (incluindo 32 ou 64 bits) antes de baixá-los para ter certeza de que você está baixando a atualização correta.

Resumindo, a idade de 512 bits dos certificados digitais RSA acabou. Você precisa migrar para pontos fortes mais fortes para uma melhor proteção contra a exploração de seus dados.

RECOMENDADO: Clique aqui para solucionar erros do Windows e otimizar o desempenho do sistema