Dengan lingkup eksploitasi digital meningkat, Microsoft keluar dengan nasihat bahwa itu tidak akan lagi menghibur sertifikat digital dengan kekuatan kurang dari 1024 bit. Pada Agustus 2012, Microsoft mengeluarkan penasehat keamanan bahwa itu tidak akan mendukung sertifikat digital RSA dari 9 Oktober 2012. Kamu butuh perbarui sertifikat digital RSA Anda sebelum tanggal tersebut, tanggal cut-off untuk memblokir sertifikat yang lemah (kurang dari 1024 bit).
Sebagian besar sertifikat digital menggunakan algoritme RSA untuk sertifikat yang digunakan dengan situs web, untuk menandatangani secara digital dan mengenkripsi file. Kekuatan algoritma RSA didasarkan pada jumlah bit yang digunakan. Sertifikat RSA mengidentifikasi individu, organisasi, dan file sebagai asli dan asli. Ketika digunakan dengan email dan jenis file data lainnya, sertifikat digital RSA memungkinkan untuk mencegah gangguan konten file dalam arti bahwa mereka akan memperingatkan pengguna jika terjadi manipulasi file asli. Hingga saat ini, sebagian besar otoritas sertifikasi (CA) memberikan sertifikat digital dengan kurang dari 1024 bit. Mengingat basis eksploitasi aset online yang dimanipulasi dan dieksploitasi, perusahaan perangkat lunak mengatakan sudah saatnya admin IT memperbarui sertifikat digital RSA mereka untuk melindungi pengguna dari segala jenis kerentanan.
Microsoft mengatakan akan menyediakan pembaruan otomatis 9 Okt 2012 yang akan memperbarui sistem operasi dan produk lain untuk mengenali situs web dan barang-barang menggunakan sertifikat digital RSA yang memiliki kekuatan kurang dari 1024 bit. Beberapa ahli mengatakan keputusan ini datang setelah eksploitasi berbagai sistem operasi Windows oleh malware suka Flame dll. Yang lain mengatakan bahwa Microsoft sudah bekerja sejak lama. Apa pun alasannya, inilah saatnya untuk menghapus sertifikat digital Anda dan meningkatkannya menjadi setidaknya 1024 bit. Kekuatan sertifikat digital RSA diukur dengan waktu yang diambil untuk memecahkan kode kunci pribadi sertifikat. Untuk menegakkan perlindungan yang lebih baik, orang perlu menambahkan lebih banyak kekuatan ke sertifikat.
Sadarilah bahwa perusahaan menyatakan 1024 bit sebagai minimum. Untuk perlindungan yang lebih baik dan untuk menghindari pembaruan serupa dalam waktu dekat, disarankan untuk menggunakan kekuatan di atas 2048 bit.
Apa Yang Terjadi Jika Anda Tidak Memperbarui Sertifikat RSA Digital?
Anda akan mendapatkan pesan kesalahan dari jenis yang ditunjukkan di bawah ini dan lebih buruk lagi, aplikasi Anda mungkin tidak berfungsi dengan baik.
Ada masalah dengan sertifikat keamanan situs web ini
Menurut Penasihat Keamanan Microsoft, pembaruan tidak akan mempengaruhi Windows 8 dan Windows 2012 Server karena mereka sudah memiliki fitur bawaan untuk memblokir sertifikat RSA lemah yang kurang dari 1024 bit. Sistem operasi dan perangkat lunak lainnya akan diperbarui pada 9 Oktober 2012 untuk bertindak sesuai - untuk memblokir sertifikat RSA yang lemah. Berikut adalah beberapa masalah yang dapat dihadapi orang jika sertifikat digital RSA tidak diperbarui (Seperti yang disebutkan dalam artikel Microsoft KB 2661254):
- Otoritas sertifikasi tidak dapat mengeluarkan sertifikat RSA yang memiliki kurang dari 1024 bit;
- Proses Otorisasi Sertifikasi (certsvc) tidak akan dimulai jika sertifikat digital RSA lemah;
- Internet Explorer akan memblokir akses ke situs web dengan sertifikat digital RSA yang lemah;
- Outlook 2010 tidak akan dapat menandatangani email secara digital dan pengguna tidak akan dapat mengenkripsi email. Jika email sudah dienkripsi menggunakan sertifikat RSA yang lebih lemah, email tersebut masih dapat didekripsi setelah pembaruan;
- Jika pengguna menerima email yang ditandatangani oleh sertifikat digital RSA kurang dari 1024 bit, mereka akan menerima peringatan yang mengatakan bahwa sertifikat tersebut tidak dapat dipercaya - mengirim sinyal tentang orisinalitas dan keaslian email;
- Outlook tidak akan terhubung ke Exchange Server dengan sertifikat RSA kurang dari 1024 bit. Pengguna akan melihat peringatan yang mengatakan bahwa sertifikat tidak dapat dipercaya dan karenanya, telah diblokir;
- Saat memasang produk yang membawa sertifikat RSA yang lemah, pengguna akan menerima peringatan tentang sertifikat yang akan membuat pengguna tidak disarankan untuk memasang produk “tidak tepercaya”;
- Menurut Penasehat, “System Center HP-UX PA-RISC komputer yang menggunakan sertifikat RSA dengan panjang kunci 512 bit akan menghasilkan peringatan detak jantung dan semua pemantauan Operations Manager dari komputer akan gagal. "Galat Sertifikat SSL" juga akan dibuat dengan deskripsi "menandatangani verifikasi sertifikat.”Klik di sini untuk informasi lebih lanjut tentang komputer HP UX PA RISC dengan panjang kunci 512 bit.
Tim Microsoft TechNet memiliki diskusi tentang FAQ terperinci dan tindakan yang disarankan di blognya.
Cara Mendeteksi Jika Sertifikat RSA Lemah
Artikel KB 2661254 telah menyarankan metode berikut untuk memeriksa apakah Anda memegang sertifikat digital RSA yang lemah.
Semua sertifikat digital RSA dapat dibuka dengan mengklik dua kali pada ikonnya. Detail tentang sertifikasi dapat dilihat di tab Detail setelah Anda membuka sertifikat digital. Harus ada bidang berlabel "Public Key" yang menunjukkan jumlah bit yang digunakan oleh sertifikat.
Ada beberapa metode lain yang tercantum dalam artikel Penasehat KB 2661254. Saya sarankan Anda memeriksa metode CAPI2 juga. Ini akan membantu Anda mengidentifikasi semua sertifikat yang memiliki kekuatan sandi yang lemah. Metode ini dijelaskan dalam artikel KB terkait di atas 2661254.
Solusi Untuk Mengakses Situs Web Dan Program Dengan Sertifikat RSA Digital Yang Lemah
Meskipun sangat menyarankan admin IT untuk meningkatkan sertifikat digital RSA mereka dengan minimal 1024 bit, Microsoft menyediakan solusi untuk mengakses situs web dan program yang memiliki sertifikat digital lemah. Ia mengatakan itu mungkin memerlukan beberapa waktu sebelum semua admin dapat memperbarui sertifikat mereka dan karenanya pengguna dapat menggunakan solusi yang ditentukan untuk mengakses sertifikat digital RSA yang lemah bahkan ketika situs web dan program memperbarui dan meningkatkan sertifikat mereka. Solusinya melibatkan mengedit Registry Windows. Lihat bagian Izinkan Panjang Kunci Kurang dari 1024 Bit Menggunakan Pengaturan Registri di bawah RESOLUSI dalam artikel KB yang ditautkan untuk mengubah registri Windows menggunakan certutil perintah.
Perhatikan bahwa ada dua bagian: satu kata RESOLUTIONS (jamak) dan yang lainnya mengatakan RESOLUTION (tunggal). Anda perlu memeriksa bagian RESOLUTIONS (jamak) untuk solusi untuk mengizinkan sertifikat digital sertifikat RSA yang lemah.
Microsoft menyediakan pembaruan di bawah bagian RESOLUTION dari artikel KB 2661254. Patch ini memperbarui sistem Anda untuk meningkatkan tingkat enkripsi minimum dalam berbagai sistem operasi Windows sehingga Anda tidak menghadapi masalah dalam mengakses sertifikat digital RSA yang kuat. Periksa sistem operasi yang disebutkan pada tambalan (termasuk 32 atau 64 bit) sebelum mengunduhnya untuk memastikan Anda mengunduh pembaruan yang benar.
Singkatnya, usia sertifikat RSA digital 512 bit sudah berakhir. Anda perlu pindah ke kekuatan kunci yang lebih kuat untuk perlindungan yang lebih baik terhadap eksploitasi data Anda.
