Päivitä SHA-1-sertifikaatit SHA-2-muotoon pikaisesti

Muistakaahan viimeistään nyt päivittää omat sisäiset sertifikaatit SHA-2-muotoiseen allekirjoitukseen, jos tämä on vielä tekemättä. Jo nyt osa selaimista antaa käyttäjälle varoitukset, jos sertifikaatti on allekirjoitettu käyttäen vanhaa SHA-1 algoritmia.

Microsoftin selaimet näyttävät huhtikuun alusta alkaen varoituksen käyttäjälle, mikäli SHA-1 allekirjoitettuja sertifikaatteja käytetään.

Tämä muutos koskee kaikkia sertifikaatteja, mutta julkiset sertifikaatit ainakin olisi pitänyt jo kolme vuotta sitten tulla SHA-2 allekirjoitettuna. Täten asia ei yleensä koske julkisia sertifikaatteja, mutta kannattaa toki tarkistaa, käyttääkö sertifikaatit vielä SHA-1 allekirjoitusta.

Koska itse tehdyt (self-signed) sertifikaatit eivät oletuksena ole missään luotettuina, näissä on jo nyt tullut samaa varoitusta selaimista, mutta mikäli ympäristössä on esim. GPO:n avulla lisätty luotetuksi itse tehtyjä sertifikaatteja, pitää ne tarkistaa ja uusia myös tarvittaessa. Tärkeintä on ensiksi tarkistaa oman PKI-ympäristön myöntämät sertifikaatit ja tehdä migraatio oman PKI:n osalta.

Mistä näkee sertifikaatin allekirjoituksen

Kun Windows-käyttöjärjestelmällä avaa sertifikaatin ja valitsee Details -välilehden:

Certificate General Shon : De tails <AII > sion Certficabon Path Serial number Signature algorithm Signature hash algorithm Issuer avalid from avalid to 733f8d 44 fo 96 . shalRSA Centero CA, centero, Bcal lauantai 22. maaliskuuta 2014 . keskviikko 22. maaliskuuta 20.. GM-al

Signature algorithm ja Signature hash algorithm kertovat allekirjoituksessa käytetyn algoritmin. Kuvassa on siis vanhentunut SHA-1:stä käyttävä sertifikaatti, joka tulee uusia käyttämään SHA-2 allekirjoitusta. Toistaiseksi rajoitukset koskevat palvelinvarmenteita, joten client-sertifikaatteja ei tarvitse heti päivittää SHA-2:een, mutta kannattaa toki heti tehdä tarvittavat päivitykset niin, että kaikki uudet sertifikaatit olisivat SHA-2 allekirjoitettuja

Miten tarkistaa oman sisäinen PKI

Sisäisen PKI:n osalta, mikäli PKI on toteutettu Microsoftin Active Directory Certification Authority -ominaisuudella, käytetään Certification Authority -työkalua SHA-1 tuen tarkastukseen. Ensin katsotaan CA-palvelimen ominaisuudet ja sieltä General -välilehti:

C:\Users\TEEMUT~1\AppData\Local\Temp\msohtmlclip1\02\clip_image002.png

Alareunassa näkyy Cryptographic settings, joka kertoo mitä allekirjoitusta CA-palvelu käyttää, kun se luo uusia sertifikaatteja. Mikäli tässä lukee vielä SHA1, niin itse CA:n migraatio SHA-1:stä SHA-2:een on tekemättä.

Kun View certificate -napilla avaa tuoreimman (viimeisenä listassa oleva) CA:n käyttämän sertifikaatin, voi samalla tavalla kuin edellisessä kappaleessa kuvattiin, tarkastaa tarvitseeko CA:n oma sertifikaatti vielä uudistaa käyttämään SHA-2-allekirjoitusta.

Yheenveto

Simppeli homma sinällään, kun tietää aikarajat ja on hieman perehtynyt PKI:hin ja sertifikaattien ihmeelliseen maailmaan. Mikäli kuitenkin kaipailaitte apuja, niin Centero mielellään jeesaa SHA-migraatioissa.

Laske säästösi

Automatisoi sovelluspäivitykset ja lopeta pikkusoftien kanssa painiminen. Centero Software Manager säästää aikaa, rahaa ja hermojasi.

« Edellinen artikkeli: Windows 10 Preview Build 15031 julkaistu
» Seuraava artikkeli: Windows 10:n päivittämisen vaihtoehdot