Neden birçok yönetici 'Otomatik Kök Sertifika Güncelleştirmesini Kapat' Politikasını kullanıyor?

Şirketim, Sunucu tabanlı bir ürün için Windows Installer dağıtıyor. En iyi uygulamalara göre bir sertifika kullanılarak imzalanır. Microsoft'un önerileri doğrultusunda, Microsoft'un tüm Windows Server sürümleri tarafından varsayılan olarak tanındığını iddia ettiği bir GlobalSign kod imzalama sertifikası kullanıyoruz .

Şimdi, bir sunucu Grup İlkesi ile yapılandırılmadıkça, hepsi bu işe yarar: Bilgisayar Yapılandırması / Yönetim Şablonları / Sistem / Internet İletişim Yönetimi / İnternet İletişim ayarları / Otomatik Kök Sertifika Güncelleştirmesini Etkin Olarak Kapat .

Erken beta testçilerimizden birinin kurulum sırasında aşağıdaki hataya neden olan bu yapılandırma ile çalıştığını tespit ettik.

Kabin dosyası [kabin dosyasına giden uzun yol] geçersiz bir dijital imzaya sahip olduğu için gerekli bir dosya yüklenemiyor. Bu, dolap dosyasının bozuk olduğunu gösterebilir.

Bunu bir tuhaflık olarak yazdık, sonuçta hiç kimse sistemin neden bu şekilde yapılandırıldığını açıklayamadı. Bununla birlikte, yazılım genel kullanıma açık olduğu için, müşterilerimizden iki hanenin (yüzde) bu ayarda yapılandırıldığı ve hiç kimsenin nedenini bilmediği anlaşılmaktadır. Birçok ayar değiştirmek için isteksiz.

Müşterilerimiz için bir KB makalesi yazdık, ancak gerçekten müşteri deneyimini önemserken, sorunun gerçekten olmasını istemiyoruz.

Bunu araştırırken fark ettiğimiz bazı şeyler:

1. Yeni bir Windows Server yüklemesi, Globalsign sertifikasını güvenilir kök yetkililer listesinde göstermiyor.
2. Windows Server internete bağlı değilken, yazılımımızı yüklemek iyi çalışıyor. Kurulumun sonunda Globalsign sertifikası var (bizim tarafımızdan ithal edilmiyor). Arka planda Windows ilk kullanımda şeffaf bir şekilde kuruyor gibi görünüyor.

Yani, işte yine sorum. Kök sertifikaların güncellenmesini devre dışı bırakmak neden bu kadar yaygın? Güncelleştirmeyi yeniden etkinleştirmenin olası yan etkileri nelerdir? Müşterilerimize uygun rehberliği sağlayabileceğimizden emin olmak istiyorum.

2012'nin sonlarında / 2013'ün başlarında otomatik kök sertifika güncellemeleriyle ilgili bir sorun vardı. Geçici düzeltme, otomatik güncellemeleri devre dışı bırakmaktı, bu nedenle kısmen bu konu tarihseldir.

Diğer bir sebep ise Güvenilen Kök Sertifika programı ve Kök Sertifika Dağıtımıdır (ki bu Microsoft’u değiştirir ).

Kök sertifikalar Windows'ta otomatik olarak güncellenir. Bir [sistem] yeni bir kök sertifikayla karşılaştığında, Windows sertifika zinciri doğrulama yazılımı, kök sertifika için uygun Microsoft Update konumunu kontrol eder.

Şimdilik, çok iyi ama sonra ...

Onu bulursa, sisteme indirir. Kullanıcı için, deneyim kesintisiz. Kullanıcı herhangi bir güvenlik iletişim kutusu veya uyarısı görmez. İndirme işlemi sahne arkasında otomatik olarak gerçekleşir.

Bu olduğunda, köklerin otomatik olarak Kök deposuna eklendiği anlaşılabilir. Bütün bunlar bazı sistem yöneticilerini endişelendirir, çünkü 'kötü' bir CA'yı sertifika yönetimi araçlarından kaldıramazsınız çünkü kaldırılacakları yok ...

Aslında, pencerelerin tüm listeyi indirmesini sağlamanın yolları vardır, böylece istedikleri gibi düzenleyebilirler, ancak güncellemeleri engellemek çok yaygındır. Çok sayıda sistem yöneticisi şifrelemeyi veya güvenliği (genellikle) anlamıyor, bu yüzden alınan bilgeliği (doğru veya başka türlü) sorgulamadan takip ediyorlar ve güvenlikle ilgili şeylerde tam olarak anlamadıklarına inanmadıklarını değiştirmek istemiyorlar. Bazı siyah sanatlar.

Otomatik Kök Sertifikaları Güncelleştirmesi bileşeni otomatik olarak Microsoft Windows Update Web sitesinde güvenilen yetkililerin listesini kontrol için tasarlanmıştır. Özellikle, yerel bilgisayarda depolanan güvenilir kök sertifika yetkililerinin (CA) bir listesi vardır. Bir uygulama bir CA tarafından verilen bir sertifika ile sunulduğunda, güvenilir kök CA listesinin yerel kopyasını kontrol eder. Sertifika listede yoksa, Otomatik Kök Sertifika Güncelleştirmesi bileşeni, bir güncelleme olup olmadığını öğrenmek için Microsoft Windows Update Web sitesine başvurur. CA, güvenilir CA'ların Microsoft listesine eklenmişse, sertifikası otomatik olarak bilgisayardaki güvenilir sertifika deposuna eklenir.

Kök sertifikaların güncellenmesini devre dışı bırakmak neden bu kadar yaygın?

Kısa cevap muhtemelen kontrol ile ilgili olmasıdır. Hangi kök CA'lara güvenildiğini kontrol etmek istiyorsanız (bu özelliği kullanmak ve Microsoft'un sizin için yapmasına izin vermek yerine), güvenmek istediğiniz kök CA'ların bir listesini bulmak en kolay ve en güvenli olanıdır, bunları etki alanı bilgisayarlarınıza dağıtın ve ardından bu listeyi kilitleyin. Bir kuruluşun güvenmek istediği kök CA'lar listesindeki değişiklikler nispeten nadir olacağından, yöneticinin otomatik bir güncellemeye izin vermek yerine herhangi bir değişikliği gözden geçirmek ve onaylamak isteyeceği belli bir anlam ifade eder.

Tamamen açık olmak gerekirse, kimse bu ayarın belirli bir ortamda neden etkinleştirildiğini bilmiyorsa, ayarlanması gerekmediği anlamına gelir.

Güncelleştirmeyi yeniden etkinleştirmenin olası yan etkileri nelerdir?

Etki alanı bilgisayarlarının Microsoft Windows Update Sitesi'ndeki güvenilen CA'ların listesini kontrol etmelerine ve potansiyel olarak güvenilir sertifika depolarına yeni sertifikalar eklemelerine izin verilir.

Bu, müşterilerinize / müşterilerinize kabul edilemezse, sertifikalar GPO tarafından dağıtılabilir ve sertifikalarınızı şu anda güvenilir sertifikalar için kullandıkları dağıtım yöntemine dahil etmeleri gerekir.

Veya ürününüzün yüklenmesine izin vermek için bu politikayı her zaman geçici olarak devre dışı bırakmanızı önerebilirsiniz.

Bunu devre dışı bırakmanın yaygın olduğu konusunda hemfikir değilim. İfade etmenin daha iyi bir yolu neden birinin bunu devre dışı bırakacağını sormak olacaktır. Sorununuz için daha iyi bir çözüm, yükleyicinin kök / ara CA sertifikalarını denetlemesi ve yoksa bunları yüklemesi olacaktır.

Trusted Root CA programı çok önemlidir. Bir TON başvurusu, yaygın olarak kapatılsaydı beklendiği gibi çalışmazdı. Elbette, bu özelliği devre dışı bırakan bazı kuruluşlar olabilir, ancak gereksinimlerine bağlı olarak bu gerçekten organizasyonlara bağlıdır. Harici bir bağımlılık gerektiren herhangi bir uygulamanın (kök sertifika) her zaman test etmeden çalışacağı hatalı bir varsayımdır. Bu özelliği devre dışı bırakan uygulamaların ve organizasyonların her ikisi de dış bağımlılığın (kök sertifika) var olmasını sağlama sorumluluğunu taşır. Bunun anlamı bir kuruluş bunu devre dışı bırakırsa, bu sorunu beklediğini bilir (veya yakında öğrenir).

Trusted Root CA program mekanizmasının yararlı bir amacının (kök CA sertifikalarının dinamik kurulumu), tanınmış / güvenilen kök CA sertifikalarının tümünü ya da çoğunu kurmanın pratik olmadığıdır. Yüklü çok fazla sertifika varsa, Windows'taki bazı bileşenler bozuluyor, bu nedenle uygulanabilir tek uygulama yalnızca gerektiğinde gerekli olan sertifikaları yüklemektir.

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

"Sorun şudur: istemcilere güvenilir sertifikalar göndermek için kullanılan SChannel güvenlik paketi 16KB sınırına sahiptir. Bu nedenle, mağazada çok fazla sertifikaya sahip olmak, TLS sunucularının gerekli sertifika bilgilerini göndermesini engelleyebilir; Müşteriler doğru sertifika bilgisine sahip değilse, kimlik doğrulaması için TLS gerektiren hizmetleri kullanamazlar çünkü KB 931125'te mevcut olan kök sertifika güncelleme paketi depoya manuel olarak çok sayıda sertifika ekleyerek sunucu sonuçlarına uygular. mağazada 16KB limitini ve TLS kimlik doğrulamasının başarısız olma ihtimalini aşıyor. "

Certif.service aracını devre dışı bırakma nedenim şudur:

İnternet bağlantısı olmayan birçok sistemim var. Ayrıca çoğu durumda, büyük bir DatastoreServer'daki sanal makineler olmaları nedeniyle ekran / kb / fare kullanmazlar. Bu yüzden her durumda bakım / modifikasyona ihtiyaç duyduklarında, onlara ulaşmak için Windows RDP kullanıyorum. Bir makineye RDP üzerinden bağlanırsanız, Windows ilk önce sertifika güncellemelerini çevrimiçi olarak kontrol eder. Sunucunuzda / istemcinizde internet yoksa, bağlantıya devam etmeden önce 10-20 saniye bekler.

Her gün çok sayıda RDP bağlantısı yapıyorum. Mesaja bakmamaktan saatlerce tasarruf ediyorum: "uzak bağlantıyı güvenli hale getirme" :) certif.service!

Bunun daha eski bir konu olduğunu biliyorum; ancak alternatif bir çözüm sunmak istiyorum. Kullanmakta olduğunuzdan başka bir sertifika yetkilisi (ROOT CA) kullanın. Başka bir deyişle, imza sertifikanızı çok daha eski ve onaylanmış bir kök CA'ya sahip olan bir sertifikaya değiştirin.

DIGICert bunu bir sertifika isteğinde bulunur. Bu, DIGICert hesabınızdaki varsayılan kök CA'nız olmasa da, CSR'yi onlara gönderirken kullanabileceğiniz bir seçenektir. BTW, DIGICert için çalışmıyorum ya da onları önererek herhangi bir kazancım yok. Sadece bu acıyı hissediyorum ve daha pahalı bir cert satın aldığımda ve daha fazla harcadığımda 1000 ABD dolarını ucuz bir certte kurtarmak için çok fazla zaman harcadım Destek meseleleriyle daha az zaman harcar. Bu sadece bir örnek. Aynı şeyi sunan başka sertifika sağlayıcılar da var.

% 99 Uyumluluk DigiCert Kök Sertifikaları, dünyadaki en yaygın güvenilir otorite sertifikaları arasındadır. Bu nedenle, tüm yaygın web tarayıcıları, mobil cihazlar ve posta istemcileri tarafından otomatik olarak tanınırlar.

Uyarma - CSR yaparken doğru CA'yı seçerseniz.