IE, a blokowanie stron z niezgodnym certyfikatem

Wiem, że wielu osobom się narażę moimi poglądami, ale i tak uważam, iż przeglądarka IE – już w 11 odsłonie; jest jedną z lepszych pozycji w swojej kategorii oprogramowania :). To fakt, iż potoczny misiek posiada kilka uciążliwych „ulepszeń”, jak chociażby blokowanie dostępu do witryn wykorzystujących certyfikaty RSA z kluczami krótszymi, aniżeli 1024 bity, jednakże wszystko to da się skonfigurować.

Niestety, wiele szczególnie starszych sprzętów zarządzanych właśnie poprzez konsole www, posiada wbudowane certyfikaty z kluczami długości, np. 512 bitów. W takim przypadku dostaniemy ładny komunikat widoczny na poniższym zrzucie ekranu, gdzie niestety nie będzie możliwości kontynuowania przeglądania witryny.

SSL1

Co można w takiej sytuacji zrobić? Oczywiście, najbezpieczniej podmienić certyfikat na nowy, jednakże czasem jest to problematyczne. Chociażby z tego powodu, iż samo urządzenie może nie obsługiwać certyfikatów o dłuższym kluczu.

W takim przypadku jedynym wyjściem z sytuacji jest chwilowe obniżenie poziomu zabezpieczeń.

Można tego dokonać na kilka sposobów, jak chociażby edycja rejestrów systemu Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

Niemniej jednak najprostszym rozwiązaniem jest użycie narzędzia certutil, które to za użytkownika dokona stosownych modyfikacji. Mianowicie, aby obniżyć wymagany minimalny poziom długości klucza, wywołujemy w/w narzędzie wraz parametrem -SetReg, gdzie wskazujemy która wartość rejestru ma być zmodyfikowana. W niniejszym przypadku będzie to MinRsaPubKeyBitLength jako wartość DWORD zdeklarowana na 512:

certutil -setreg chain\minRSAPubKeyBitLength 512

Należy jedynie pamiętać, iż narzędzie to wymaga uprawnień lokalnego administratora.

Po dokonaniu zmiany minimalnej długości klucza, możliwa jest normalna praca z witrynami używającymi certyfikaty z krótszym kluczem.

W celu przywrócenia domyślnych ustawień odnośnie długości klucza, wystarczy usunąć tę wartość, analogicznie z poziomu rejestrów lub za pomocą narzędzia certutil, jednakże tym razem z przełącznikiem –DelReg:

certutil -delreg chain\MinRsaPubKeyBitLength

Z racji, iż wartość ta domyślnie nie jest tworzona, usunięcie jej spowoduje to zastosowanie domyślnych ustawień.

Źródła:
http://support.microsoft.com/kb/2661254

Reklamy

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s