2023年12月18日发(作者:)

龙源期刊网

彻底解决IE无法浏览密钥长度512位以下HTTPS网站的方法

作者:陈慧蕊 陈连春

来源:《今日财富》2016年第06期

摘要:自Microsoft 在2012年8月14日发布的“最小密钥长度更新(2661254)”安全通报和2013年11月12日发布“重要数字签名中的漏洞可能允许拒绝服务 (MS13-095 ,更新2868626)”的安全公告有关内容,WindowsXPSP3和Windows7从非安全更新 (2661254)开始阻止使用长度少于 1024 位的弱RSA密钥的功能,Windows 8或 Windows Server 2012 已经包含了阻止使用长度少于 1024 位的弱 RSA 密钥的功能。但是1024位以下密钥作为过渡阶段的HTTPS服务器有一定的存在数量,特别是采用SSL硬件加密卡方式加密的网站来说,需要更长的时间周期来替换,而业务往往又不能中断,结合实际工作中碰到的问题,通过仔细研究,提出了比较完整的、详细的解决方案。

关键字:HTTPS服务器;密钥长度;Windows更新;注册表

问题提出:

根据Microsoft 在2012年8月14日发布的“最小密钥长度更新(2661254)”安全通报和2013年11月12日发布“重要数字签名中的漏洞可能允许拒绝服务 (MS13-095 ,更新2868626)”的安全公告有关内容,WindowsXPSP3和Windows7从非安全更新 (2661254)开始阻止使用长度少于 1024 位的弱RSA密钥的功能,非安全更新2868626是2661254的替代;而Windows 8或 Windows Server 2012 已经包含了阻止使用长度少于 1024 位的弱 RSA 密钥的功能。其结果是在安装了以上更新包的WindowsXPSP3(以上更新包不适合WindowsXPSP2)和Windows7系统和所有的Windows8系统的Internet Explorer(以下简称IE)浏览器将不允许访问使用密钥长度少于 1024 位的 RSA 证书保护的网站。WindowsXPSP3系统使用IE8.0浏览器浏览该类网站时,出现如图1所示的提示,无法显示网页。Windows7和Windows8下使用IE浏览器出现类似错误。在实际工作中会给我们带来诸多不便,特别是大型企业用户访问内部网站时会更多碰到此类问题。

解决方法:

要解决上述问题最好的办法是服务器端及时更新证书,按照上述Microsoft安全通告的建议将证书密钥长度更新到1024位以上,建议是2048位。但是,在服务器端无法及时取代密钥长度少于 1024 位的 RSA 证书而业务又无法中断的情况下,客户端可以采用以下方法解决这个。