Microsoft zal in augustus een update uitbrengen voor alle versies van Windows en Windows Server. Eenmaal geïnstalleerd wordt elke vorm van versleuteling met een RSA-sleutel van minder dan 1024 bits geblokkeerd, meldt het concern.

Zwakke sleutels in de ban

Encryptie met kortere private keys zijn niet meer van deze tijd, omdat ze met de huidige, goedkope rekenkracht snel kunnen worden gekraakt middels een brute force-aanval, stelt Microsoft.

Dit betekent dat alles en iedereen die nog gebruik maakt van zwakkere sleutels deze voor half augustus moet vervangen. Daarna zullen sites die nog zwakke SSL-certificaten gebruiken een foutmelding geven in de browser. E-mail met oude signatures wordt geweigerd, evenals ActiveX-code.

Iedereen moet mee

In principe zal ook alle software die is getekend met zwakke certificaten worden geblokkeerd door Windows. Code die van vóór 1 januari 2010 stamt wordt nog wel geaccepteerd met korte sleutels. Dit betekent werk aan de winkel voor talloze sites, webwinkels en developers, anders functioneert hun site of software binnenkort niet meer op Windows-pc's.

De aankomende patch is voor Windows XP, Windows Server 2003, Windows Server 2003 R2, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2.

Auto update van geblokkeerde certs

Tegelijkertijd zal Microsoft het proces van verbanning van gecompromitteerde certificaten versoepelen. De afgelopen jaren moesten verschillende certificaten worden ingetrokken na succesvolle hacks, zoals bij Comodo en DigiNotar. Vorige week moest Microsoft zelf halsoverkop drie certificaten intrekken, nadat bleek dat supermalware Flame die misbruikte.

Het updaten van deze zwarte lijst, de zogenaamde Untrusted Certificate Store, moest totnogtoe met een handmatige patch. Vanaf augustus zal dit automatisch gebeuren, ten minste als de gebruiker ook zijn Windows Updates automatisch binnenhaalt. De nieuwe updater zal dagelijks controleren of er nieuwe foute certificaten in de ban zijn gedaan, schrijft Microsoft.