摘要:自 Microsoft 在 2012 年 8 月 14 日发布的“最小密钥长度更新
(2661254)”安全通报和 2013 年 11 月 12 日发布“重要数字签名中的漏洞可
能允许拒绝 服务 ( MS13-095 ,更新 2868626)”的 安全公告有关 内容 ,
WindowsXPSP3 和 Windows7 从非安全更新 (2661254)开始阻止使用长
度少于 1024 位的弱 RSA 密钥的功能,Windows 8 或 Windows Server
2012 已经包含了阻止使用长度少于 1024 位的弱 RSA 密钥的功能。但是
1024 位以下密钥作为过渡阶段的 HTTPS 服务器有一定的存在数量,特别是采
用 SSL 硬件加密卡方式加密的网站来说,需要更长的时间周期来替换,而业务
往往又不能中断,结合实际工作中碰到的问题,通过仔细研究,提出了比较完
整的、详细的解决方案。
关键字:HTTPS 服务器;密钥长度;Windows 更新;注册表
问题提出:
根 据 Microsoft 在 2012 年 8 月 14 日 发 布 的 “ 最 小 密 钥 长 度 更 新
(2661254)”安全通报和 2013 年 11 月 12 日发布“重要数字签名中的漏洞可
能允许拒绝 服务 ( MS13-095 ,更新 2868626)”的 安全公告有关 内容 ,
WindowsXPSP3 和 Windows7 从非安全更新 (2661254)开始阻止使用长
度少于 1024 位的弱 RSA 密钥的功能,非安全更新 2868626 是 2661254 的
替代;而 Windows 8 或 Windows Server 2012 已经包含了阻止使用长度少
于 1024 位 的 弱 RSA 密 钥 的 功 能 。 其 结 果 是 在 安 装 了 以 上 更 新 包 的
WindowsXPSP3(以上更新包不适合 WindowsXPSP2)和 Windows7 系统
和所有的 Windows8 系统的 Internet Explorer(以下简称 IE)浏览器将不允