Attenzione ai certificati SSL ed aggiornamenti di Microsoft KB2661254

certificati domino explorer ssl TIPS ADMIN windows 7

  • 6 commenti
Segnalo una tips che mi auguro possa essere utile per alcuni di voi, dato che ci ho sbattuto la testa la scorsa settimana in prima persona per quasi 2 giorni.
Lo scenario è il seguente:

Fino a l'altro ieri tutti i miei applicativi  dotati di standard di sicurezza SSL hanno funzionato egregiamente  con il solito messaggio di Warning che ti avvisa che il certificato SSL non è emesso da una CA Trusted.
(Ovvio che comprando un certificato SSL da Verign & co anche questo mex sparisce dai browser)

Cmq sia. l'utente bastava che premeva "Continue to this website" e si procedeva in tutta sicurezza alla navigazione SSL:


Image:Attenzione ai certificati SSL ed aggiornamenti di Microsoft KB2661254

L'altro giorno mi sono accorto che aprendo Internet Explorer (solo questo browser generava il problema) appariva il seguente messaggio di errore...e nonostante premessi "Continue to this website" non procedeva alla navigazione e rimaneva bloccato su questa videata:

Image:Attenzione ai certificati SSL ed aggiornamenti di Microsoft KB2661254

Non avevo toccato nulla sui miei server e non avevo toccato nulla sui miei client. Cosa diavolo era successo?

Ho iniziato così a debuggare l'anomalia cercando di ricostruire il problema e trovo che tra me e gli altri client l'unica cosa che c'era in comune erano stati gli aggiornamenti di Microsoft della sera prima.

Scopro da solo facendo un lavoro da certosino, che l'altro giorno durante l'update di Windows 7 è stata rilasciato questa KB 2661254 che una volta disinstallata tutto è tornato alla normalità.
Di conseguenza scopro che i certificati con una chiave RSA < 1024 bits non vengono più accettati.

Rigenero il certificato a 1024bits et voilà tutto funziona!

Prima di installare o deployare un aggiornamento di MS sarebbe quindi meglio leggersi tutte le note...ma quanti di voi lo fanno?

Mi auguro che questo piccolo tips possa essere utile per qualcun'altro.

N.B. Scopro oggi che il problema affrontato settimana scorsa è stato pubblicato sulla technote di IBM questo Venerdì appena trascorso :-D



Nicola Trebbi è CIO presso Lubrimetal SPA

6 Commenti:

  • #1 Trustico 11/06/2012 11:35:57 AM

    Aggiungerei che il livello di bit ora consigliato è salito a 2048, anche se come scritto qui sopra 1024 viene comunque accettato.

    Un saluto

  • #2 Alessandro Pernasili 10/18/2012 5:57:36 PM

    Confermo, stesso problema e stessa soluzione ma ci ho sbattuto la testa un giorno intero.

  • #3 Franco 10/17/2012 3:43:35 PM

    Grazie del consiglio, ho rifatto tutto da capo... tanto 10 minuti bastano!

  • #4 Daniele Grillo 10/15/2012 7:41:08 PM

    Ti consiglio di ricreare tutto fai prima usa questa technote di IBM

    { Link }

  • #5 Franco 10/15/2012 6:16:20 PM

    La ricrezione del certificato a 1024 bit comporta anche la creazione di un nuovo file KYR o non serve? Forse è un'ovvietà, ma non ho dimestichezza con la CA di Domino...

    Grazie!

  • #6 Cristian D’Aloisio 10/15/2012 9:45:53 AM

    Grazie per per aver condiviso questo caso!

    Cristian

Commenta articolo
 

Questo spazio web è stato creato da per un uso pubblico e gratuito. Qualsiasi tipo di collaborazione sarà ben accetta.
Per maggiori informazioni, scrivete a info@dominopoint.it

About Dominopoint
Social
Dominopoint social presence: