みなさん、こんにちは、村木ゆりかです。
本日、セキュリティ アドバイザリ 2854544を公開しました。本アドバイザリでは、今後も継続して、Windows における暗号化や証明書に関する強化について、情報を公開していく予定です。
今回は、ルート証明書更新プログラムおよび失効した証明書の更新ツール (KB2677070) のアップデート版 (KB2813430) を、公開しました。これまで、Windows Update へ直接通信が行えず、更新が行えないあるいは更新が難しかった環境でも、更新を行えるよう機能強化を行いました。
対象
Windows Vista Service Pack 2
Windows Server 2008 Service Pack 2
Windows 7 Service Pack 1
Windows Server 2008 R2 Service Pack 1
Windows 8
Windows Server 2012
入手方法
Microsoft Update サービスにて、自動更新を有効にしている場合: **
自動で更新が行われます。追加の作業は必要ありません
手動で更新を行う場合:
ダウンロード センターから入手可能です。また、Microsoft Update Catalog からも入手可能であるため、WSUS, System Center 製品を利用した配布も可能です
Windows RT の場合: **
Windows Update を通じて自動で更新が行われます。追加の作業は必要ありません
解説
マイクロソフトでは、ユーザーのみなさんに安全にインターネットや、その他の証明書を利用した機能を利用いただくために、「ルート証明書更新プログラム」という取り組みを行っています。このルート証明書更新プログラムでは、証明機関と連携を行い、信頼できる証明機関のリスト、および信頼できない証明機関のリストを作成し配布を行っています。(詳細はブログ「マイクロソフトが提供する信頼できる証明書利用基盤 ~ルート証明書更新プログラムと更新ツール ~」をご参照ください)
ルート証明書更新プログラムは、Windows Update サイトへ接続できる場合、自動で更新が行われますが、Windows Update サイトへ直接接続ができない場合は手動で行う必要がある、細かい設定ができない等、企業ネットワーク環境やドメイン環境では、利用が難しい場合が多くありました。
そこで、セキュリティ アドバイザリ 2854544 (KB2813430) にて、そのような企業ネットワークやドメイン環境においても、ルート証明書更新プログラムの機能を利用できるよう、機能強化を行いました。
今回は、主な強化点 3 つをご紹介します。
Point 1: 組織内の自動配布が可能に **
これまで、Windows Update サイトに直接接続できない場合、ダウンロード センターから IEXPRESS 形式のパッケージを手動で入手し、個別にインストールする必要がありました。また、パッケージの公開は、Windows Update サイトでのリスト公開と同時ではない場合もありました。このため、企業環境など、Windows Update へ直接接続できない場合は、最新のリストを簡単に入手することが難しい状況でした。
そこで、セキュリティ アドバイザリ 2854544 (KB2813430) では、新しい配布および更新の方法を追加しました。更新先に、任意の Windows Update 以外のサイトや共有フォルダを指定することができます。これにより、社内ネットワークでも、簡単に展開が可能です
- 境界領域にあるサーバーなど、Windows Update サイトにアクセス可能な社内サーバーを用意します。また、CertUtil -syncWithWU <同期先ディレクトリへのパス> を実行し、Windows Update サイトにある情報と同期します。
- クライアント、メンバーサーバーにて、以下のレジストリを設定し、社内サーバーを参照し、ルート証明書更新プログラムにて自動更新を行うよう設定します。
レジストリキー:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl
値: 参照先パス
Point 2: 機能の個別有効化/無効化が可能に **
これまでは、信頼されるルート証明機関のリスト更新と、信頼できないルート証明機関のリスト更新は、どちらか片方だけを有効・無効にすることができませんでした。セキュリティ アドバイザリ 2854544 (KB2813430) を適用することで、以下のレジストリにより、有効・無効を個別に設定することができます (注意: それぞれ設定する値と有効・無効が異なりますので注意してください)
信頼する証明機関のリストの更新
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
値: 1 自動更新無効、0 自動更新有効
信頼しない証明機関のリストの更新
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdate
値: 1 自動更新有効、0 自動更新無効
Point 3: 信頼リストのカスタマイズが容易に **
これまでは、マイクロソフトが配信している信頼されるルート証明機関あるいは信頼しない証明機関のリストを、簡単に内容確認したり、カスタマイズしたりする方法がありませんでした。セキュリティ アドバイザリ 2854544 (KB2813430) を適用することで、Certutil ツールが更新され、簡単にリストの内容確認や、カスタマイズすることが可能になります。
- Windows Update サイトにある最新のリストから、Microsoft シリアル化された証明書ストア形式の (.SST) ファイルを作成します。以下のコマンドを実行することで作成できます。
CertUtil -generateSSTFromWU <ファイル名>.SST
- 作成された .SST ファイルを開くことで、含まれる証明機関を確認したり、必要な証明機関だけを選択するなどカスタマイズしたリストを作成することもできます。
- グループポリシーを利用してカスタマイズしたリストを配布することもできます。以下のサイトなどを参考にしてください。
信頼されたルート証明書を管理する http://technet.microsoft.com/ja-jp/library/cc754841.aspx
証明書の利用は、さらに広まり、また、それに伴って、証明書に関するセキュリティの脅威も広がってきています。ぜひ、セキュリティ アドバイザリ 2854544(KB2813430) を適用し、企業ネットワーク、ドメイン環境においても、ルート証明書更新プログラムを利用し最新のリストの利用を検討してください。
-—————————————————-
補足 1
Windows では、証明書を信頼するかどうか、という確認を行う仕組みは複数あり、今回のルート証明書更新プログラム (信頼できる証明機関のリスト、および信頼できない証明機関のリストによる検証) の動作は、また、PKI で一般的に利用される失効リスト (CRL), オンラインレスポンダ (OCSP) による失効確認とは別の動作です。
補足 2
信頼できる証明機関のリスト、および信頼できない証明機関のリストは、以下の windowsupdate.com のサイトにあるアドレスへアクセスをして取得するように設定されておりますが、Windows
Update の動作自体とは独立して稼働しています。(これは、本日公開した、セキュリティ アドバイザリ 2854544 (KB2813430) を適用する以前からの動作です)
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
補足 3
セキュリティ アドバイザリ 2854544 で提供された修正プログラム 2813430 を適用する事によりにより、修正プログラム 2661254 「証明書の鍵長の最小値に関する更新プログラム」 が置き換えられます。修正プログラム 2661254 は、キーの長さが 1024 ビット未満である RSA 証明書の使用がブロックされます。詳細は以下のブログ記事も参考にしてください。
1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開