Menü
iX Magazin

Microsoft verändert Zertifikatsmanagement

vorlesen Drucken Kommentare lesen 33 Beiträge

Als Lehre aus dem Flame-Desaster hat Microsoft nun eine eigene Sperrlistentechnik für seinen Zertifikatsspeicher unter Windows eingebaut. Sie wird mit dem gestrigen Patch-Set verbreitet. Das Spionageprogramm Flame hatte sich mit Hilfe der Update-Funktion von Windows verbreitet, indem es die zu dessen Absicherung gedachten Zertifikate manipulierte.

Mit der jetzigen Änderung, die ein Blog-Eintrag beschreibt, werden kompromittierte Zertifikate automatisch als nicht vertrauenswürdig markiert. Dazu konsultiert der Zertifikatsspeicher einmal täglich eine von Microsoft verwaltete Liste. Certificate Authorities müssen das Unternehmen von widerrufenen Zertifikaten unterrichten, das sie dann in dieses Verzeichnis aufnimmt. Das Verfahren sei wesentlich schneller als das Verteilen von Certificate Revocation Lists (CRLs), heißt es im Blog.

Gleichzeitig hat Microsoft angekündigt, dass nach Installation der kommenden August-Patches Windows RSA-Keys mit einer Schlüssellänge von weniger als 1024 Bits nicht mehr akzeptieren werde. Das betrifft unter anderem SSL-Zertifikate von Websites: Browser reagieren dann mit einer Fehlermeldung, wenn sie eine Verbindung dorthin herstellen. Auch Active-X-Controls und Anwendungen, die mit solchen kurzen Schlüsseln signiert wurden, lassen sich nicht mehr installieren. (ck)