彻底解决IE无法浏览密钥长度512位以下HTTPS网站的方法

来源 :今日财富 | 被引量 : 0次 | 上传用户:bitlycold
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘要:自Microsoft 在2012年8月14日发布的“最小密钥长度更新(2661254)”安全通报和2013年11月12日发布“重要数字签名中的漏洞可能允许拒绝服务 (MS13-095 ,更新2868626)”的安全公告有关内容,WindowsXPSP3和Windows7从非安全更新 (2661254)开始阻止使用长度少于 1024 位的弱RSA密钥的功能,Windows 8或 Windows Server 2012 已经包含了阻止使用长度少于 1024 位的弱 RSA 密钥的功能。但是1024位以下密钥作为过渡阶段的HTTPS服务器有一定的存在数量,特别是采用SSL硬件加密卡方式加密的网站来说,需要更长的时间周期来替换,而业务往往又不能中断,结合实际工作中碰到的问题,通过仔细研究,提出了比较完整的、详细的解决方案。
  关键字:HTTPS服务器;密钥长度;Windows更新;注册表
  问题提出:
  根据Microsoft 在2012年8月14日发布的“最小密钥长度更新(2661254)”安全通报和2013年11月12日发布“重要数字签名中的漏洞可能允许拒绝服务 (MS13-095 ,更新2868626)”的安全公告有关内容,WindowsXPSP3和Windows7从非安全更新 (2661254)开始阻止使用长度少于 1024 位的弱RSA密钥的功能,非安全更新2868626是2661254的替代;而Windows 8或 Windows Server 2012 已经包含了阻止使用长度少于 1024 位的弱 RSA 密钥的功能。其结果是在安装了以上更新包的WindowsXPSP3(以上更新包不适合WindowsXPSP2)和Windows7系统和所有的Windows8系统的Internet Explorer(以下简称IE)浏览器将不允许访问使用密钥长度少于 1024 位的 RSA 证书保护的网站。WindowsXPSP3系统使用IE8.0浏览器浏览该类网站时,出现如图1所示的提示,无法显示网页。Windows7和Windows8下使用IE浏览器出现类似错误。在实际工作中会给我们带来诸多不便,特别是大型企业用户访问内部网站时会更多碰到此类问题。
  解决方法:
  要解决上述问题最好的办法是服务器端及时更新证书,按照上述Microsoft安全通告的建议将证书密钥长度更新到1024位以上,建议是2048位。但是,在服务器端无法及时取代密钥长度少于 1024 位的 RSA 证书而业务又无法中断的情况下,客户端可以采用以下方法解决这个。
  方法1:安装第三方浏览器
  经过测试,Chrome(谷歌)浏览器(测试了另外几个都不行)可以浏览此类网站,IE8.0和Chrome44.0的结果对比如图2所示,在Chrome中可以选择“继续前往XX(不安全)”继续显示网页。
  方法2:删除已安装的更新
  通过“控制面板”-“添加/删除程序”中的“显示更新”选项,找到相应的安全更新包,删除掉,即可。通过深入研究,现在已经知道影响这个证书长度的更新包有2661254、2808679和2868626三个更新,如果发现系统里有多个要逐个删除。
  这个方法实际工作中存在不足:一方面这方法只能适用WindowsXP和Windows7这两个通过更新包升级的系统,而对于Windows8和Windows Server 2012已经包含在系统里了,就无能为力;另一方面有些系统无法通过上述的“添加/删除程序”功能删除,更有些会出现删除后更新包里面显示已经没有了,但实际没有删除成功,本人在用虚拟机实验过程中就曾出现过这样的情况,结果用删除WindowsXP的SP3补丁包回退到SP2,然后重新安装SP3升级包的方法才解决。
  方法3:使用注册表设置允许密钥长度少于 1024 位
  此方法是最有效也是最彻底的解决方法。
  根据Microsoft安全公告中的说明,用于控制对密钥长度少于 1024 位的 RSA 证书的检测和阻止的注册表路径是HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config,其控制值有MinRsaPubKeyBitLength、EnableWeakSignatureFlags、WeakSignatureLogDir、WeakRsaPubKeyTime四个。有以下两个方法通过设置一个或几个参数组合来实现用IE浏览器访问证书密钥长度少于 1024 位的网站。
  方法1:设置MinRsaPubKeyBitLength为需要的值
  MinRsaPubKeyBitLength是定义所允许的最小 RSA 密钥长度的 DWORD值。默认情况下,此值不存在,所允许的最小 RSA 密钥长度为 1024。根据有关说明和实际测试,客户端通过定义MinRsaPubKeyBitLength这个参数来实现获得对密钥长度少于 1024 位的 RSA证书的访问许可权限,从而实现用IE浏览器访问该类证书的密钥长度少于 1024 位的网站。
  具体命令:
  1、对于Windows XP、Windows Server 2003 和 Windows Server 2003 R2系统来说,可以使用注册表编辑器、reg 命令或 reg 文件来创建“HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config\MinRsaPubKeyBitLength”并赋于需要的值,如要将系统设置成允许访问证书密钥长度512位以上(包括512位)的所有网站,那就将此值设为512(十进制)。命令如下:   reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config" /v MinRsaPubKeyBitLength /t REG_DWORD /d 512 /f。
  运行结果如下,这时候的标题是“证书错误,导航已阻止”,页面上是“此网站的安全证书有问题”,可以选择“继续浏览此网站(不推荐)”正常访问该网站 :
  2、对于Windows7、Windows8等用户既可以使用注册表编辑器、reg 命令或 reg 文件来创建“HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config\MinRsaPubKeyBitLength”并赋于需要的值,也可以使用 certutil 命令更改这些注册表设置(以管理员身份运行),如要将系统设置成允许访问证书密钥长度512位以上(包括512位)的所有网站,那就将此值设为512(十进制)。命令如下:
  certutil -setreg chain\minRSAPubKeyBitLength 512
  经过这样设置,在Windows7和Windows8下就也可以通过IE浏览器访问上述密钥长度少于1024位的网站。
  方法2:设置EnableWeakSignatureFlags的值为8
  EnableWeakSignatureFlags DWORD 值有三个可能的值:2、4、6 和 8。其中8是启用日志记录,不强制阻止长度少于 1024 位的密钥。这时如果设定了 WeakSignatureLogDir,那么当遇到长度少于 1024 位密钥时将被复制到物理 WeakSignatureLogDir 文件夹(如该文件夹不存在要先创建之)中。
  设置方法同上,注册表命令:
  reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config" /v EnableWeakSignatureFlags /t REG_DWORD /d 8 /f。
  reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config" /v WeakSignatureLogDir /t REG_SZ /d "c:\Under1024KeyLog" /f。
  Windows7、Windows8下的certutil命令如下:
  certutil -setreg chain\EnableWeakSignatureFlags 8
  certutil -setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"
  总结:
  RSA 是 HTTPS 体系中最重要的算法,而且被证明RSA密钥要求在2048位以上才是安全的,但是1024位以下密钥作为过渡阶段的HTTPS服务器有一定的存在数量,特别是采用SSL硬件加密卡方式加密的网站来说,需要更长的时间周期来替换,而业务往往又不能中断。所以采用本文介绍的通过注册表修改方法较好地解决了这个实际问题,有着很大的实际意义。
  陈慧蕊 工商银行杭州软件开发中心
  陈连春 建设银行台州分行电子银行部
其他文献
摘 要:中小企业融资难和“三农”的发展一直困扰着铜仁市的经济发展,而小额贷款公司的出现给铜仁市农村经济发展和中小企业融资难带来了希望。因此,小额贷款公司对铜仁市的经济发展起着重要的作用,但由于受地方经济发展以及“只贷不存”政策的制约,服务“三农”(农民、农业、农村经济)已经成为铜仁市小额贷款公司贷款的对象目标。因此,这也为铜仁市小额贷款公司的可持续发展带来了挑战。  关键词:三农;小额贷款公司;可
期刊
摘 要:近年来,有关股票市场调控机制相继出台,新时期股票市场格局产生了巨大改变。交易机制的选择很大程度上决定了股票市场的质量,如何充分发挥出交易机制的应用价值,促进理性投资,改善股票市场质量是每一位股票市场管理者均应认真思考的一个问题。本文围绕回转交易制度对股票市场质量的影响展开探讨,为充分发挥回转交易制度在股票市场中的应用价值,不断改善股票市场质量略尽绵力。  关键词:回转交易制度;股票市场;质
期刊
摘 要:本文主要对县域民营工业发展过程中的贷款难问题进行分析,并在此基础上就如何缓解民营工业贷款难问题,谈一下自己的观点和认识,以供参考。  关键词:县域民营工业;贷款难;成因;分析  0 引言  民营工业信贷融资渠道不畅,主要体现在企业资金缺口较大。由于银行申贷环节多、审批层次多,使企业感觉贷款难,有畏难心理。  1 宁化县民营工业贷款难的体现  1.1企业自身素质不高是制约申贷的主要因素  民
期刊
摘 要:建设公开、公平、有序的工程招投标市场,是保证工程质量、维护业主利益的最佳办法。结合自身实际,本文阐述了工程招投标过程中存在的主要问题,初步分析了存在问题的原因,并提出相应对策及建议。  关键词:工程项目;招投标;招投标监督  0 引言  当前工程项目的招投标市场,可谓是乱象丛生,很多投标单位参与投标,不是以中标后施工赢利为目的,而是以赚取资质出让费、人员出场费或中标后收取实际的施工单位管理
期刊
摘 要:随着市场经济在快速发展,中小企业也在快速崛起。为了提高品牌企业的市场竞争力,本文对经销商进行研究,在筛选以及管控中,制定了合理的企业经营战略,为进一步打造知名品牌提供更有效的说服力。  关键词:品牌企业;经销商;筛选;管控  0 引言  根据《市场开发与经销商管理》以及企业经营战略,分析了品牌企业经销商选择的思路以及在筛选和管控环节中的具体内容,重点研究了管控为品牌企业带来的营销模式,促使
期刊
摘 要:自新中国成立后,我国社会保障制度就是按"城乡有别"的建设思路进行的,也正因此,城乡居民的社会保障差距越拉越大,为统筹城乡社会发展设置了制度鸿沟。近年来,城乡二元社会保障制度的发展受到了局限,已经严重阻碍了我国的经济发展。  关键词:城乡二元结构;社会保障;影响;调整  0 引言  城乡二元社会保障制度已经成为制约我国经济社会发展的障碍,如果不进行调整,必然会成为阻碍我国经济进一步发展的瓶颈
期刊
摘 要:国家实行营业税改征增值税税制改革,是国家结构性减税的重大举措,完善了增值税的抵扣链条,有利于企业减轻税负,但大部分物流企业却出现了税负不减反增的现象,本文结合物流企业的特点,全面分析“营改增”对物流企业的影响,以及税负不减反增的原因,并提出物流企业相应的对策。  关键词:营改增;物流企业;税负变化  0 引言  为了完善我国的税收管理制度,2011年,财政部、国家税务总局联合下发《营业税改
期刊
摘 要:我国房地产行业经历过一段高速发展阶段,目前在国家的宏观调控下,房地产企业融资成本及风险管理关系到房地产企业的生存和发展发关键,本文主要通过论述当今房地产企业资金的来源,借入资金的方式及成本,来分析房地产企业融资的合法性与合理性,为控制企业融资风险管理提供参考,为规避房地产企业的财务风险而导致的经营风险,为房地产企业的可持续发展提供良好的平台。  关键词:房地产;融资合法性;融资合理性;风险
期刊
摘 要:随着经济的发展,市场的开拓显然已经成为企业发展的重心,培养一支优秀、高效的营销团队,对于市场营销工作显得特别重要。在管理团队方面,通过合理制定工作目标,提高营销人员的工作积极性,使营销团队的管理系统化、制度化、人性化。  关键词:主管;培养;团队;措施  0 引言  营销团队是强调营销手段的整体性,尽力为消费者创造最大的价值,让最终消费者心理的满意程度最大的优化,使得企业从中获得长足的发展
期刊
摘 要:有投资就会有风险,家庭理财首先要保证财产的安全,其次才是财产的收益。个人投资者必须熟悉各种投资方式的特点以及风险,根据自己资产状况合理投资,使收益最大,并把风险控制在能承受的范围内。  关键词:理财规划;投资风险;家庭理财  0 引言  家庭理财就是通过合理的规划,管理财富使财产保值、增值,从而实现自己的人生目标。家庭理财对个人、对家庭的稳定发展非常重要。家庭理财既要做好规划,更要做好风险
期刊