在过去几个月中，微软对我们的内部PKI实践以及Windows更新通道（客户端和服务器端）的PKI处理方式进行了更改。您可能已经在MSRC博客、Microsoft更新博客以及相关的KB文章（949104、2720211）中阅读过这些更改。

我们上个月继续推进这一演变，宣布打算发布一项纵深防御措施，改变Windows管理RSA密钥长度小于1024位的证书的方式。在安装了此强化包的系统上，使用RSA算法且密钥长度小于1024位的证书将被视为无效，即使它们在其他方面有效并由受信任的证书颁发机构签名。我们将通过常规更新渠道为所有受支持的Windows版本部署此更新，作为关键的非安全更新。我们鼓励WSUS管理员在8月发布时批准并部署该更新，以主动强化您的环境，防范暴力加密攻击。所有选择自动更新的客户将根据您的自动更新设置获得更新。您可以在6月最初发布的PKI博客文章中阅读更多关于此强化的信息：http://blogs.technet.com/b/pki/archive/2012/06/12/rsa-keys-under-1024-bits-are-blocked.aspx

作为这项工作的延续，我们审查了许多Microsoft数字证书，并发现有几个不符合我们的安全实践标准。作为额外的预防措施，我们今天发布了安全公告2728973，宣布提供一个关键的非安全更新，将其中几个证书移至不受信任的证书存储区。所涉及的证书均未已知被破坏、泄露或以其他方式滥用。这是一项先发制人的清理工作，以确保Microsoft拥有的任何证书都达到高标准。

最后，我们今天正在进行另一项主动更改，这将帮助我们更快地响应未来的任何数字证书问题。上个月，我们宣布为Windows Vista、Windows Server 2008、Windows 7和Windows Server 2008 R2提供新的自动不受信任证书更新程序。此新功能提供动态更新，允许Windows客户端每天更新一次不受信任的证书，无需用户交互。您可以在之前提到的PKI博客文章和KB 2677070中阅读更多关于此功能的信息。此新功能之前作为可选更新通过Windows Update提供。我们今天正在更改Windows Update元数据，使此自动更新程序作为关键的非安全更新提供，使其能够自动部署给所有选择自动更新的客户（根据您的AU设置），并在WSUS仪表板中显示为关键更新。此自动更新程序是Windows Vista及更高平台客户获取不受信任数字证书更新（如上述安全公告2728973中包含的更新）的最快方式。尚未安装此新功能的Windows Vista及更高平台客户可以通过WSUS或下载中心部署不受信任证书更新。Windows XP和Windows Server 2003计算机将继续通过Windows Update接收不受信任证书存储更新——尽管安全公告2728973有一个安装先决条件，使用Windows XP和Windows Server 2003的客户应特别注意（在FAQ中描述）。

我们将继续监控威胁形势，并在我们认为可以加强Microsoft处理或使用基于公钥的加密技术的安全性时采取行动。

• Gerardo Di Giacomo和Jonathan Ness，MSRC