2015年3月17日,微软发布了安全公告3046310「不适当签发的数字证书可能导致身份伪造」。该公告指出,数字证书用于验证网站的真实性,但不当签发的证书可能被用于身份伪造、钓鱼或中间人攻击。微软已与证书颁发机构合作,更新了证书信任列表(CTL),以消除对不当签发证书的信任。
受影响证书详情
| 证书 | 颁发者 | 指纹 |
|---|---|---|
| www.live.fi | COMODO RSA Domain Validation Secure Serve CA | 08 e4 98 72 49 bc 45 07 48 a4 a7 81 33 cb f0 41 a3 51 00 33 |
微软目前尚未发现与此问题相关的攻击活动。
推荐措施
- Windows 8/8.1/RT/RT 8.1/Server 2012/Server 2012 R2用户:系统已默认启用证书自动更新工具,无需额外操作。
- Windows Vista/7/Server 2008/Server 2008 R2用户:若已使用自动更新工具(KB2677070),系统将自动保护;否则需手动配置离线环境(KB2813430)。
- Windows Server 2003用户:相关更新已于3月19日(美国时间)发布。
相关资源
更多详情请参阅安全公告3046310。