Механизм отзыва сертификатов, использующийся в Office

Прежде чем использовать сертификаты доверия (certificates of trust), Microsoft® Office выполняет проверку их подлинности. Проверка производится даже в том случае, если сертификат уже принят и присутствует на компьютере пользователя. Для этого Office использует определенные параметры безопасности обозревателя Microsoft Internet Explorer. Если в диалоговом окне Дополнительно (Advanced settings) обозревателя Internet Explorer установлен флажок Проверять аннулирование сертификатов издателей (Check for publisher's certificate revocation), то в этом случае каждый раз, когда приложение Office пытается запустить подписанный исполняемый файл, содержащий сертификат, выполняется одно из следующих действий (в зависимости от периода обновления центром сертификации информации об отзыве):

• Состояние отзыва сертификата проверяется на сервере центра сертификации, выпустившего сертификат.
• Проверяется кэшированный файл, полученный от этого же центра сертификации.

Единственным исключением является тот случай, когда сертификат доверия, связанный с уже установленным элементом управления Microsoft ActiveX®, был принят ранее и присутствует в хранилище доверенных издателей.

Параметр обозревателя Internet Explorer Проверять аннулирование сертификатов издателей (Check for publisher's certificate revocation) включается по умолчанию во время стандартной установки Internet Explorer (в предыдущих версиях по умолчанию эта функция была отключена). Поскольку Office наследует этот параметр у обозревателя Internet Explorer, после установки Office проверка аннулирования сертификатов будет производиться автоматически. Хотя администраторы могут отключить автоматическую проверку аннулирования сертификатов, рекомендуется оставлять эту функцию включенной.

Эта функция несколько увеличивает время запуска исполняемых файлов, так как для каждого из них необходимо проверить, не был ли отозван соответствующий сертификат, связанный с тем или иным файлом. Процесс проверки отзыва сертификатов может занимать еще больше времени, если список отзыва сертификатов обновляется или загружается с сервера центра сертификации впервые. Тем не менее, после того, как список отзыва сертификатов загружен и помещен в локальный кэш на компьютере пользователя, проверка отзыва сертификатов проходит относительно быстро. Для выполнения всего процесса необходимо подключение к сети Интернет.

Включение функции проверки аннулирования сертификатов

1. Запустите обозреватель Internet Explorer.
2. В меню Сервис (Tools) выберите пункт Свойства обозревателя (Internet Options) и перейдите на вкладку Дополнительно (Advanced).
3. В разделе Безопасность (Security) установите флажок Проверять аннулирование сертификатов издателей (Check for publisher’s certificate revocation).

Примечание. Если в Вашей организации доступ в Интернет запрещен или ограничен с помощью прокси или брандмауэра, рекомендуется разрешить доступ к веб-узлам компаний, предоставляющим услуги по проверке отзыва сертификатов. Это позволит пользователям Вашей организации регулярно проверять сертификаты доверия. Проконсультируйтесь с Вашим сетевым администратором и определите, каким образом можно предоставить доступ к серверам, содержащим списки отзыва сертификатов различных центров сертификации.