Microsoft verändert Zertifikatsmanagement
Ausgelöst durch das Spionageprogramm Flame, das sich über die Update-Funktion von Windows verteilte, hat Microsoft mit den heutigen Patches das Zertifikatsmangement überarbeitet. Im August werden zudem RSA-Schlüssel mit weniger als 1024 Bit ungültig.
- Christian Kirsch
Als Lehre aus dem Flame-Desaster hat Microsoft nun eine eigene Sperrlistentechnik für seinen Zertifikatsspeicher unter Windows eingebaut. Sie wird mit dem gestrigen Patch-Set verbreitet. Das Spionageprogramm Flame hatte sich mit Hilfe der Update-Funktion von Windows verbreitet, indem es die zu dessen Absicherung gedachten Zertifikate manipulierte.
Mit der jetzigen Änderung, die ein Blog-Eintrag beschreibt, werden kompromittierte Zertifikate automatisch als nicht vertrauenswürdig markiert. Dazu konsultiert der Zertifikatsspeicher einmal täglich eine von Microsoft verwaltete Liste. Certificate Authorities müssen das Unternehmen von widerrufenen Zertifikaten unterrichten, das sie dann in dieses Verzeichnis aufnimmt. Das Verfahren sei wesentlich schneller als das Verteilen von Certificate Revocation Lists (CRLs), heißt es im Blog.
Gleichzeitig hat Microsoft angekündigt, dass nach Installation der kommenden August-Patches Windows RSA-Keys mit einer Schlüssellänge von weniger als 1024 Bits nicht mehr akzeptieren werde. Das betrifft unter anderem SSL-Zertifikate von Websites: Browser reagieren dann mit einer Fehlermeldung, wenn sie eine Verbindung dorthin herstellen. Auch Active-X-Controls und Anwendungen, die mit solchen kurzen Schlüsseln signiert wurden, lassen sich nicht mehr installieren. (ck)
