Чому багато адміністраторів використовують політику "Вимкнути автоматичне оновлення кореневих сертифікатів"?

Моя компанія поширює інсталятор Windows для продукту на основі сервера. Відповідно до найкращих практик, він підписується за допомогою сертифіката. Відповідно до порад Microsoft, ми використовуємо сертифікат підписання коду GlobalSign , який, за твердженням Microsoft, визнається за замовчуванням у всіх версіях Windows Server.

Тепер це все працює добре, якщо сервер не налаштовано з груповою політикою: Конфігурація комп’ютера / Адміністративні шаблони / Система / Управління комунікаціями в Інтернеті / Налаштування Інтернет-комунікацій / Вимкніть автоматичне оновлення кореневого сертифіката як включене .

Ми виявили, що один з наших ранніх бета-тестерів працював з цією конфігурацією, що призводило до наступної помилки під час встановлення

Необхідний файл не може бути встановлений, оскільки файл кабінету [довгий шлях до файлу кабіни] має недійсний цифровий підпис. Це може означати, що файл кабінету пошкоджений.

Ми це списували як дивацтво, адже ніхто не зміг пояснити, чому система налаштована так. Однак тепер, коли програмне забезпечення доступне для загального користування, виявляється, що двозначна цифра (відсоток) наших клієнтів налаштована з цим параметром, і ніхто не знає чому. Багато хто неохоче змінює налаштування.

Ми написали статтю KB для наших клієнтів, але ми дійсно не хочемо, щоб ця проблема взагалі трапилась, оскільки насправді хвилюють досвід клієнтів.

Деякі речі, які ми помітили, досліджуючи це:

1. Свіжа інсталяція Windows Server не відображає сертифікат Globalsign у списку надійних кореневих повноважень.
2. Якщо Windows Server не підключений до Інтернету, установка нашого програмного забезпечення працює чудово. Наприкінці установки присутній сертифікат Globalsign (не імпортований нами). На задньому плані Windows, як видається, встановлює прозоро під час першого використання.

Отже, ось моє запитання. Чому так часто відключити оновлення кореневих сертифікатів? Які потенційні побічні ефекти відновлюють оновлення? Я хочу переконатися, що ми можемо надати нашим клієнтам відповідні вказівки.

В кінці 2012 / початку 2013 року виникла проблема з автоматичними оновленнями кореневих сертифікатів. Проміжним виправленням було відключення автоматичних оновлень, тому частково ця проблема є історичною.

Інша причина - програма довірених кореневих сертифікатів та розповсюдження кореневих сертифікатів, які (перефразуючи Microsoft ) ...

Кореневі сертифікати оновлюються в Windows автоматично. Коли [система] стикається з новим кореневим сертифікатом, програмне забезпечення для підтвердження ланцюга сертифікатів Windows перевіряє відповідне місце оновлення Microsoft для кореневого сертифіката.

Поки так добре, але потім ...

Якщо він знайде його, він завантажує його в систему. Для користувача досвід безперебійний. Користувач не бачить жодних діалогових вікон безпеки або попереджень. Завантаження відбувається автоматично, за кадром.

Коли це станеться, може виявитися, що серти автоматично додаються до магазину Root. Все це змушує деяких сисадмінів нервувати, оскільки ви не можете видалити «поганий» КА з інструментів управління сертифікатами, оскільки їх немає для видалення ...

Насправді є способи змусити Windows завантажити повний список, щоб вони могли редагувати його за своїм бажанням, але звичайно просто блокувати оновлення. Велика кількість сисадмінів не розуміє шифрування чи безпеки (як правило), тому вони без сумніву дотримуються отриманої мудрості (правильної чи іншої), і їм не подобається вносити зміни до речей, що стосуються безпеки, що вони не повністю розуміють, вважаючи, що це якесь чорне мистецтво.

Компонент автоматичного оновлення кореневих сертифікатів призначений для автоматичної перевірки списку довірених авторитетів на веб-сайті Microsoft Windows Update. Зокрема, є список надійних органів кореневої сертифікації (CA), що зберігаються на локальному комп'ютері. Коли заявці пред'являється сертифікат, виданий ЦО, він перевіряє локальну копію надійного кореневого списку CA. Якщо сертифікату немає в списку, компонент автоматичного оновлення кореневих сертифікатів зв’яжеться з веб-сайтом Microsoft Windows Update, щоб побачити, чи доступне оновлення. Якщо ЦС додано до списку довірених ЦС Microsoft, його сертифікат автоматично додається до сховища довірених сертифікатів на комп'ютері.

Чому так часто відключити оновлення кореневих сертифікатів?

Коротка відповідь, ймовірно, йдеться про контроль. Якщо ви хочете контролювати, яким кореневим ЦО довіряти (а не використовувати цю функцію та дозволяти Microsoft робити це за вас), найпростіше і безпечніше скласти список кореневих ЦС, яким ви хочете довіряти, розподілити їх на своїх доменних комп'ютерах , а потім заблокуйте цей список. Оскільки зміни до списку кореневих ЦО, яким організація хоче довіряти, є досить рідкісними, має значення певний сенс, що адміністратор хотів би переглянути та затвердити будь-які зміни, а не допускати автоматичне оновлення.

Якщо бути абсолютно відвертим, якщо ніхто не знає, чому цей параметр увімкнено в заданому середовищі, це означає, що його не слід встановлювати.

Які потенційні побічні ефекти відновлюють оновлення?

Доменним комп’ютерам буде дозволено перевіряти перелік довірених ЦС на веб-сайті Microsoft Windows Update і, можливо, додавати нові сертифікати до їх надійного сховища сертифікатів.

Якщо це неприйнятно для ваших клієнтів / клієнтів, сертифікати можуть розповсюджуватися GPO, і їм потрібно буде включити ваш сертифікат у будь-який метод розповсюдження, який вони використовують для надійних сертифікатів.

Або ви завжди можете запропонувати тимчасове вимкнення цієї конкретної політики, щоб дозволити встановлення вашого продукту.

Я б не погодився, що це звичайно відключати. Кращим способом висловити слово було б запитати, чому хтось відключає це. І кращим рішенням вашої проблеми було б встановлення, щоб перевірити наявність кореневих / проміжних сертифікатів CA та встановити їх, якщо вони відсутні.

Програма Trusted Root CA є важливою. TON-додатки просто не працюватимуть так, як очікувалося, якби вони були вимкнені широко. Звичайно, можуть бути деякі організації, які відключають цю функцію, але це дійсно залежить від організацій, виходячи з їхніх вимог. Це хибне припущення, що будь-яка програма, яка потребує зовнішньої залежності (кореневий сертифікат), завжди працюватиме без її тестування. Як розробники програм, так і організації, які відключають цю функцію, несуть відповідальність за забезпечення зовнішньої залежності (root-сертифікат). Це означає, що якщо організація відключає це, вони знають, що очікують цього питання (або незабаром дізнаються про нього).

Варто також зазначити, що однією з корисних цілей механізму програми Trusted Root CA (динамічна установка кореневих сертифікатів CA) є те, що не практично встановити всі або навіть більшість відомих / надійних кореневих сертифікатів CA. Деякі компоненти в Windows ламаються, якщо встановлено занадто багато сертифікатів, тому єдиною можливою практикою є встановлення лише тих сертифікатів, які необхідні, коли вони потрібні.

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

"Проблема полягає в цьому: пакет безпеки SChannel, який використовується для надсилання довірених сертифікатів клієнтам, має обмеження в 16 КБ. Тому наявність занадто багато сертифікатів у магазині може перешкодити серверам TLS надсилати необхідну інформацію про сертифікати; вони починають надсилати, але повинні припинити, коли вони досягають 16 КБ. Якщо клієнти не мають потрібної інформації про сертифікати, вони не можуть використовувати послуги, що вимагають TLS для аутентифікації. Оскільки пакет оновлення кореневих сертифікатів, наявний у KB 931125, вручну додає велику кількість сертифікатів до магазину, застосовуючи його до результатів серверів в магазині, що перевищує ліміт 16 КБ і потенціал для невдалої аутентифікації TLS ".

Моя причина відключення сертифікованої служби така:

У мене багато систем без підключення до Інтернету. Також у більшості випадків їм не вистачає дисплея / kb / миші через те, що вони є віртуальними машинами на великому DatastoreServer. Тому у всіх випадках, коли їм потрібне обслуговування / модифікація, я використовую Windows RDP, щоб дістатися до них. Якщо ви підключитесь до машини за допомогою RDP, Windows спочатку перевіряє оновлення сертифікатів в Інтернеті. Якщо ваш сервер / клієнт не має Інтернету, він зависне протягом 10-20 секунд, перш ніж продовжувати з'єднання.

Я щодня роблю багато з'єднань RDP. Я економлю години на тому, щоб не дивитись на повідомлення: "Забезпечення віддаленого зв'язку" :) +1 для відключення сертифікованої служби!

Я знаю, що це старша нитка; однак я хотів би подати альтернативне рішення. Використовуйте сертифікатний орган (ROOT CA), відмінний від використовуваного. Іншими словами, переключіть свій сертифікат на підпис на той, який має набагато старіший, затверджений корінь CA.

DIGICert пропонує це, коли запитує сертифікат. Хоча це може бути не основним корінним сервісом CA у вашому обліковому записі DIGICert, це є опція, доступна під час надсилання CSR їм. До речі, я не працюю на DIGICert і не отримую жодних вигод, рекомендуючи їх. Я просто відчуваю цей біль і витратив занадто багато годин на економію 1000 доларів США на дешевому серті, коли я міг купити більш дорогий сертифікат і витратив багато менше часу на вирішення питань підтримки. Це просто приклад. Є й інші постачальники сертифікатів, які пропонують те саме.

99% сумісність корінних сертифікатів DigiCert є одними з найбільш довірених сертифікатів авторитетів у світі. Як такі, вони автоматично розпізнаються всіма звичайними веб-браузерами, мобільними пристроями та поштовими клієнтами.

Caveat - якщо під час створення CSR ви вибрали правильний корінь CA.