Компания Microsoft выпустила апдейт 2862966 для операционных систем Windows Vista/Server 2008/7/Server 2012/8/RT, после установки которого можно заблокировать использование цифровых сертификатов, подписанных ключами, сгенерированных с помощью слабых криптографических алгоритмов.
Апдейт позволяет администраторам системы отслеживать использование различных криптографических алгоритмов в контролируемой среде. Админ может установить ограничение на минимальный размер ключа для ассиметричных алгоритмов, таких как RSA, DSA и ECDSA, можно создавать отдельные разрешенные/запрещенные правила, а также включить запись в лог для каждого правила.
После апдейта 2862966 можно установить также апдейт 2862973, который запрещает использование хэш-функции MD5 в программе корневых сертификатов Microsoft. Блокируются сертификаты, которые используются для серверной аутентификации, подписи кода и установки меток времени. Исключение сделано для бинарных файлов с сертификатами, подписанными до марта 2009 года. Даже при использовании хэш-функции MD5 эти программы продолжат работу в операционной системе Windows.
Для сертификатов установки меток времени исключение сделано для четырех сертификатов Verisign:
01A8F438E1A14A904BA530942BEDBD94708CA654B8DF3C4585F17B60DA6690D1 VeriSign Time Stamping Service 8421A0182C854C1F4266C95FC8302E217A14C7797FE41F2A87CA6B2734C43F1D VeriSign Time Stamping Service CA SW1 1AD335187A1DC540738FB2EA82B7366678C2EEDCDAE75FEADD6ECD89779CB983 VeriSign Time Stamping Service 4B480E8EE1B8DFF231005E9DC5D8267227684D07A38BA6FECDB288DE53FB0A3E NO LIABILITY ACCEPTED, (c)97 VeriSign, Inc.
Для сертификатов подписи кода исключение сделано для двух сертификатов:
E059080EF4409BC0D96FBCBDDEEE6C0AFBE871AD3D68BBA6A743C64631F599C9 Microsoft Mobile Device Privileged Component PCA 26ED148B33F377BA01B68A9A97FEB2391FBED7D51E3F6EB83BEBC2FBA90920B1 GeoTrust True Credentials CA 2
