Чому багато адміністраторів використовують політику "Вимкнути автоматичне оновлення кореневих сертифікатів"?


40

Моя компанія поширює інсталятор Windows для продукту на основі сервера. Відповідно до найкращих практик, він підписується за допомогою сертифіката. Відповідно до порад Microsoft, ми використовуємо сертифікат підписання коду GlobalSign , який, за твердженням Microsoft, визнається за замовчуванням у всіх версіях Windows Server.

Тепер це все працює добре, якщо сервер не налаштовано з груповою політикою: Конфігурація комп’ютера / Адміністративні шаблони / Система / Управління комунікаціями в Інтернеті / Налаштування Інтернет-комунікацій / Вимкніть автоматичне оновлення кореневого сертифіката як включене .

Ми виявили, що один з наших ранніх бета-тестерів працював з цією конфігурацією, що призводило до наступної помилки під час встановлення

Необхідний файл не може бути встановлений, оскільки файл кабінету [довгий шлях до файлу кабіни] має недійсний цифровий підпис. Це може означати, що файл кабінету пошкоджений.

Ми це списували як дивацтво, адже ніхто не зміг пояснити, чому система налаштована так. Однак тепер, коли програмне забезпечення доступне для загального користування, виявляється, що двозначна цифра (відсоток) наших клієнтів налаштована з цим параметром, і ніхто не знає чому. Багато хто неохоче змінює налаштування.

Ми написали статтю KB для наших клієнтів, але ми дійсно не хочемо, щоб ця проблема взагалі трапилась, оскільки насправді хвилюють досвід клієнтів.

Деякі речі, які ми помітили, досліджуючи це:

  1. Свіжа інсталяція Windows Server не відображає сертифікат Globalsign у списку надійних кореневих повноважень.
  2. Якщо Windows Server не підключений до Інтернету, установка нашого програмного забезпечення працює чудово. Наприкінці установки присутній сертифікат Globalsign (не імпортований нами). На задньому плані Windows, як видається, встановлює прозоро під час першого використання.

Отже, ось моє запитання. Чому так часто відключити оновлення кореневих сертифікатів? Які потенційні побічні ефекти відновлюють оновлення? Я хочу переконатися, що ми можемо надати нашим клієнтам відповідні вказівки.


14
Нові кореневі сертифікати, що з’являються у всіх системах без попередження чи документації, викликають занепокоєння для деяких охоронців. Вони просто не довіряють Microsoft повністю перевіряти нові кореневі сертифікати, принаймні, самі не проводячи перевірки. Не допомагає питанням, коли Microsoft робить такі речі, як натискання 18 нових кореневих сертифікатів без будь-якого повідомлення.
Брайан

Ви не можете перевірити, чи сертифікат доступний у системі, і запропонуєте завантажити свій сертифікат вручну з вашого веб-сайту, якщо оновлення вимкнено?
Фалько

@falco Nop, сертифікат повинен бути на місці, перш ніж ми можемо використовувати власну логіку для виявлення подібних речей. У цьому вся суть встановлення цифрових підписів. Крім того, якщо адміністратори відключили оновлення кореневих certs, вони не будуть раді дозволити це зробити сторонній постачальник.
Jeroen Ritmeijer

Тоді ви можете надати веб-сайт, який перевіряє наявність сертифіката, який користувачі можуть відвідати до встановлення вашого продукту? На кшталт "завітайте .... щоб перевірити, чи сумісна ваша система", і на веб-сайті відображаються кроки для встановлення сертифіката, якщо ви виявите, що його немає?
Falco

1
@falco Що ми маємо (певною мірою), дивіться посилання на статтю KB у моєму запитанні. Також ... люди не читають інструкцій.
Jeroen Ritmeijer

Відповіді:


33

В кінці 2012 / початку 2013 року виникла проблема з автоматичними оновленнями кореневих сертифікатів. Проміжним виправленням було відключення автоматичних оновлень, тому частково ця проблема є історичною.

Інша причина - програма довірених кореневих сертифікатів та розповсюдження кореневих сертифікатів, які (перефразуючи Microsoft ) ...

Кореневі сертифікати оновлюються в Windows автоматично. Коли [система] стикається з новим кореневим сертифікатом, програмне забезпечення для підтвердження ланцюга сертифікатів Windows перевіряє відповідне місце оновлення Microsoft для кореневого сертифіката.

Поки так добре, але потім ...

Якщо він знайде його, він завантажує його в систему. Для користувача досвід безперебійний. Користувач не бачить жодних діалогових вікон безпеки або попереджень. Завантаження відбувається автоматично, за кадром.

Коли це станеться, може виявитися, що серти автоматично додаються до магазину Root. Все це змушує деяких сисадмінів нервувати, оскільки ви не можете видалити «поганий» КА з інструментів управління сертифікатами, оскільки їх немає для видалення ...

Насправді є способи змусити Windows завантажити повний список, щоб вони могли редагувати його за своїм бажанням, але звичайно просто блокувати оновлення. Велика кількість сисадмінів не розуміє шифрування чи безпеки (як правило), тому вони без сумніву дотримуються отриманої мудрості (правильної чи іншої), і їм не подобається вносити зміни до речей, що стосуються безпеки, що вони не повністю розуміють, вважаючи, що це якесь чорне мистецтво.


13
A great number of sysadmins [...] don't like making changes to things involving security that they don't fully understand believing it to be some black art.Так. Сумно але правда.
HopelessN00b

8
@ HopelessN00b Отже, ви краще, щоб вони вільно вносили зміни конфігурації, включаючи безпеку, яку вони не повністю розуміють? Це здається мені набагато страшнішим пропозицією.
Джошуа Ширер

11
@JoshuaShearer Я краще вважаю, що вони розуміють або перестають називати себе сисадмінами.
Кевін Крумвіде

2
@JoshuaShearer Як сказав Кевін, якщо вони не розуміють безпеку, вони не повинні бути сисадмінами, і я вважаю, що це страшна пропозиція мати адміністратора всього, хто вважає, що безпека - це якась чорна магія чи вуду.
HopelessN00b

2
@JoshuaShearer - оскільки вони не розуміють, це, мабуть, суперечки, оскільки вони не будуть знати, чи є те, що вони вже є, правильно чи ні ... У багатьох малих і середніх бізнесах "адміністратор" є "good with computers"тому, що у них є новітні блискучі iThings а не справжній професіонал.
Джеймс Снелл

11

Компонент автоматичного оновлення кореневих сертифікатів призначений для автоматичної перевірки списку довірених авторитетів на веб-сайті Microsoft Windows Update. Зокрема, є список надійних органів кореневої сертифікації (CA), що зберігаються на локальному комп'ютері. Коли заявці пред'являється сертифікат, виданий ЦО, він перевіряє локальну копію надійного кореневого списку CA. Якщо сертифікату немає в списку, компонент автоматичного оновлення кореневих сертифікатів зв’яжеться з веб-сайтом Microsoft Windows Update, щоб побачити, чи доступне оновлення. Якщо ЦС додано до списку довірених ЦС Microsoft, його сертифікат автоматично додається до сховища довірених сертифікатів на комп'ютері.

Чому так часто відключити оновлення кореневих сертифікатів?

Коротка відповідь, ймовірно, йдеться про контроль. Якщо ви хочете контролювати, яким кореневим ЦО довіряти (а не використовувати цю функцію та дозволяти Microsoft робити це за вас), найпростіше і безпечніше скласти список кореневих ЦС, яким ви хочете довіряти, розподілити їх на своїх доменних комп'ютерах , а потім заблокуйте цей список. Оскільки зміни до списку кореневих ЦО, яким організація хоче довіряти, є досить рідкісними, має значення певний сенс, що адміністратор хотів би переглянути та затвердити будь-які зміни, а не допускати автоматичне оновлення.

Якщо бути абсолютно відвертим, якщо ніхто не знає, чому цей параметр увімкнено в заданому середовищі, це означає, що його не слід встановлювати.

Які потенційні побічні ефекти відновлюють оновлення?

Доменним комп’ютерам буде дозволено перевіряти перелік довірених ЦС на веб-сайті Microsoft Windows Update і, можливо, додавати нові сертифікати до їх надійного сховища сертифікатів.

Якщо це неприйнятно для ваших клієнтів / клієнтів, сертифікати можуть розповсюджуватися GPO, і їм потрібно буде включити ваш сертифікат у будь-який метод розповсюдження, який вони використовують для надійних сертифікатів.

Або ви завжди можете запропонувати тимчасове вимкнення цієї конкретної політики, щоб дозволити встановлення вашого продукту.


3

Я б не погодився, що це звичайно відключати. Кращим способом висловити слово було б запитати, чому хтось відключає це. І кращим рішенням вашої проблеми було б встановлення, щоб перевірити наявність кореневих / проміжних сертифікатів CA та встановити їх, якщо вони відсутні.

Програма Trusted Root CA є важливою. TON-додатки просто не працюватимуть так, як очікувалося, якби вони були вимкнені широко. Звичайно, можуть бути деякі організації, які відключають цю функцію, але це дійсно залежить від організацій, виходячи з їхніх вимог. Це хибне припущення, що будь-яка програма, яка потребує зовнішньої залежності (кореневий сертифікат), завжди працюватиме без її тестування. Як розробники програм, так і організації, які відключають цю функцію, несуть відповідальність за забезпечення зовнішньої залежності (root-сертифікат). Це означає, що якщо організація відключає це, вони знають, що очікують цього питання (або незабаром дізнаються про нього).

Варто також зазначити, що однією з корисних цілей механізму програми Trusted Root CA (динамічна установка кореневих сертифікатів CA) є те, що не практично встановити всі або навіть більшість відомих / надійних кореневих сертифікатів CA. Деякі компоненти в Windows ламаються, якщо встановлено занадто багато сертифікатів, тому єдиною можливою практикою є встановлення лише тих сертифікатів, які необхідні, коли вони потрібні.

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

"Проблема полягає в цьому: пакет безпеки SChannel, який використовується для надсилання довірених сертифікатів клієнтам, має обмеження в 16 КБ. Тому наявність занадто багато сертифікатів у магазині може перешкодити серверам TLS надсилати необхідну інформацію про сертифікати; вони починають надсилати, але повинні припинити, коли вони досягають 16 КБ. Якщо клієнти не мають потрібної інформації про сертифікати, вони не можуть використовувати послуги, що вимагають TLS для аутентифікації. Оскільки пакет оновлення кореневих сертифікатів, наявний у KB 931125, вручну додає велику кількість сертифікатів до магазину, застосовуючи його до результатів серверів в магазині, що перевищує ліміт 16 КБ і потенціал для невдалої аутентифікації TLS ".


2
Дякуємо за вашу відповідь, але виходячи з нашого реального досвіду, це звичайно, і я не думаю, що будь-який адміністратор сервера був би радий нам встановити root root, якщо він прийняв рішення навіть не довіряти цьому Microsoft. Також .... наш інсталятор не може працювати без cert так курка ... яйця ...
Jeroen Ritmeijer

Зрозуміли, але ви також дізналися, що ви власне тестуєте зовнішню залежність, документуючи це для встановлення та повідомляючи вимогу замовнику. Це справжній світовий досвід. Сумніваюся, що ваша клієнтська база визнала б емпіричні дані для підтвердження висновку, що "загальним" є те, що ця функція вимкнена.
Грег Аскеу

@Muhimbi: Як практичне рішення, ви можете дати інструкції адміністраторам встановити необхідний сертифікат вручну, якщо вони не хочуть дозволити автоматичне оновлення кореневого сертифіката.
Ільмарі Каронен

@IlmariKaronen, ми вже це робимо. Чомусь це не завжди працює, навіть коли вони імпортують його у потрібний магазин. Можливо, це пов'язано з тим, що багато серверів не підключені до Інтернету, тому вони не можуть перевірити достовірність сертифіката.
Jeroen Ritmeijer

3

Моя причина відключення сертифікованої служби така:

У мене багато систем без підключення до Інтернету. Також у більшості випадків їм не вистачає дисплея / kb / миші через те, що вони є віртуальними машинами на великому DatastoreServer. Тому у всіх випадках, коли їм потрібне обслуговування / модифікація, я використовую Windows RDP, щоб дістатися до них. Якщо ви підключитесь до машини за допомогою RDP, Windows спочатку перевіряє оновлення сертифікатів в Інтернеті. Якщо ваш сервер / клієнт не має Інтернету, він зависне протягом 10-20 секунд, перш ніж продовжувати з'єднання.

Я щодня роблю багато з'єднань RDP. Я економлю години на тому, щоб не дивитись на повідомлення: "Забезпечення віддаленого зв'язку" :) +1 для відключення сертифікованої служби!


Хоча я розумію, це ГРОМНА причина :-) Є кращі способи зробити це. Багато років тому я зіткнувся з подібною проблемою (із сертифікатами перевірки SharePoint і повільністю). Ви можете знайти кілька рішень та шляхів вирішення на blog.muhimbi.com/2009/04/new-approach-to-solve-sharepoints.html
Jeroen Ritmeijer

0

Я знаю, що це старша нитка; однак я хотів би подати альтернативне рішення. Використовуйте сертифікатний орган (ROOT CA), відмінний від використовуваного. Іншими словами, переключіть свій сертифікат на підпис на той, який має набагато старіший, затверджений корінь CA.

DIGICert пропонує це, коли запитує сертифікат. Хоча це може бути не основним корінним сервісом CA у вашому обліковому записі DIGICert, це є опція, доступна під час надсилання CSR їм. До речі, я не працюю на DIGICert і не отримую жодних вигод, рекомендуючи їх. Я просто відчуваю цей біль і витратив занадто багато годин на економію 1000 доларів США на дешевому серті, коли я міг купити більш дорогий сертифікат і витратив багато менше часу на вирішення питань підтримки. Це просто приклад. Є й інші постачальники сертифікатів, які пропонують те саме.

99% сумісність корінних сертифікатів DigiCert є одними з найбільш довірених сертифікатів авторитетів у світі. Як такі, вони автоматично розпізнаються всіма звичайними веб-браузерами, мобільними пристроями та поштовими клієнтами.

Caveat - якщо під час створення CSR ви вибрали правильний корінь CA.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.