Dlaczego wielu administratorów używa zasad „Wyłącz automatyczną aktualizację certyfikatów głównych”?

40

Moja firma dystrybuuje Instalatora Windows dla produktu opartego na serwerze. Zgodnie z najlepszymi praktykami jest podpisany przy użyciu certyfikatu. Zgodnie z radą Microsoftu korzystamy z certyfikatu podpisywania kodu GlobalSign , który według Microsoft jest domyślnie rozpoznawany przez wszystkie wersje systemu Windows Server.

Teraz wszystko działa dobrze, chyba że serwer został skonfigurowany przy użyciu zasad grupy: Konfiguracja komputera / Szablony administracyjne / System / Zarządzanie komunikacją internetową / Ustawienia komunikacji internetowej / Wyłącz automatyczną aktualizację certyfikatu głównego jako Włączone .

Odkryliśmy, że jeden z naszych wczesnych testerów wersji beta działał z tą konfiguracją, co spowodowało następujący błąd podczas instalacji

Wymaganego pliku nie można zainstalować, ponieważ plik szafki [długa ścieżka do pliku cab] ma nieprawidłowy podpis cyfrowy. Może to oznaczać, że plik szafki jest uszkodzony.

Zapisaliśmy to jako osobliwość, w końcu nikt nie był w stanie wyjaśnić, dlaczego system został tak skonfigurowany. Jednak teraz, gdy oprogramowanie jest dostępne do ogólnego użytku, wydaje się, że dwucyfrowa (procent) naszych klientów jest skonfigurowana z tym ustawieniem i nikt nie wie, dlaczego. Wielu niechętnie zmienia to ustawienie.

Napisaliśmy artykuł z bazy wiedzy dla naszych klientów, ale tak naprawdę nie chcemy, aby problem pojawił się w ogóle, ponieważ zależy nam na zadowoleniu klienta.

Niektóre rzeczy, które zauważyliśmy podczas badania tego:

  1. Świeża instalacja systemu Windows Server nie wyświetla certyfikatu Globalsign na liście zaufanych organów głównych.
  2. Gdy Windows Server nie jest podłączony do Internetu, instalacja naszego oprogramowania działa poprawnie. Pod koniec instalacji jest obecny certyfikat Globalsign (nie importowany przez nas). W tle system Windows instaluje go przezroczyście przy pierwszym użyciu.

Oto moje pytanie ponownie. Dlaczego tak często wyłącza się aktualizację certyfikatów głównych? Jakie są potencjalne skutki uboczne ponownego włączenia aktualizacji? Chcę się upewnić, że możemy zapewnić naszym klientom odpowiednie wskazówki.

windows group-policy certificate Jeroen Ritmeijer
źródło
14
Nowe certyfikaty główne pojawiające się we wszystkich systemach bez ostrzeżenia lub dokumentacji są problemem dla niektórych osób zajmujących się bezpieczeństwem. Po prostu nie ufają Microsoftowi, że w pełni zweryfikuje nowe certyfikaty główne, a przynajmniej nie zrobi tego sam. Nie pomaga to, gdy Microsoft robi takie rzeczy, jak wypychanie 18 nowych certyfikatów głównych bez żadnego powiadomienia.
Brian
Nie możesz sprawdzić, czy certyfikat jest dostępny w systemie i zaoferować pobranie go ręcznie z witryny, jeśli aktualizacja jest wyłączona?
Falco
@ Falco Nop, certyfikat musi być na miejscu, zanim będziemy mogli uruchomić niestandardową logikę w celu wykrycia takich rzeczy. Taki jest sens cyfrowego podpisywania instalatorów. Ponadto, jeśli administratorzy wyłączyli aktualizację certyfikatów root, nie będą zadowoleni, że pozwolą na to inni dostawcy.
Jeroen Ritmeijer
Następnie możesz podać stronę internetową, która sprawdza certyfikat, którą użytkownicy mogą odwiedzić przed zainstalowaniem produktu? Na przykład „odwiedź .... aby sprawdzić, czy twój system jest kompatybilny” i na stronie wyświetlaj kroki, aby zainstalować certyfikat, jeśli go wykryjesz?
Falco
1
@falco Które mamy (do pewnego stopnia), zobacz link do artykułu KB w moim pytaniu. Ponadto ... ludzie nie czytają instrukcji.
Jeroen Ritmeijer

Odpowiedzi:

33

Na przełomie 2012 i 2013 r. Wystąpił problem z automatycznymi aktualizacjami certyfikatów głównych. Tymczasową poprawką było wyłączenie automatycznych aktualizacji, więc częściowo ten problem jest historyczny.

Inną przyczyną jest program Trusted Root Certificate i Root Certificate Distribution, który (parafrazując Microsoft ) ...

Certyfikaty główne są automatycznie aktualizowane w systemie Windows. Gdy [system] napotka nowy certyfikat główny, oprogramowanie weryfikujące łańcuch certyfikatów systemu Windows sprawdza odpowiednią lokalizację Microsoft Update dla certyfikatu głównego.

Jak dotąd tak dobrze, ale potem ...

Jeśli go znajdzie, pobiera go do systemu. Dla użytkownika doświadczenie jest płynne. Użytkownik nie widzi żadnych okien dialogowych zabezpieczeń ani ostrzeżeń. Pobieranie odbywa się automatycznie, za kulisami.

Kiedy tak się dzieje, może się wydawać, że certyfikaty są dodawane automatycznie do sklepu Root. Wszystko to denerwuje niektórych sysadminów, ponieważ nie można usunąć „złego” urzędu certyfikacji z narzędzi do zarządzania certyfikatami, ponieważ nie można ich usunąć ...

W rzeczywistości istnieją sposoby, aby system Windows pobierał pełną listę, aby mogli ją edytować według własnego uznania, ale często blokuje się aktualizacje. Ogromna liczba sysadminów nie rozumie szyfrowania ani bezpieczeństwa (ogólnie), więc podąża za otrzymaną mądrością (poprawną lub inną) bez pytania i nie lubi wprowadzać zmian w rzeczach dotyczących bezpieczeństwa, których nie do końca rozumie, uważając to za trochę czarnej sztuki.

James Snell
źródło
13
A great number of sysadmins [...] don't like making changes to things involving security that they don't fully understand believing it to be some black art.Tak. Smutne ale prawdziwe.
HopelessN00b
8
@ HopelessN00b Czy wolisz więc swobodnie wprowadzać zmiany konfiguracji związane z bezpieczeństwem, którego nie do końca rozumieją? To wydaje mi się o wiele bardziej przerażającą propozycją.
Joshua Shearer
11
@JoshuaShearer Wolałbym, żeby zrozumieli lub przestali nazywać się sysadminami.
Kevin Krumwiede
2
@JoshuaShearer Jak powiedział Kevin, jeśli nie rozumieją bezpieczeństwa, nie powinni być administratorami i uważam, że to przerażająca propozycja, aby mieć administratora wszystkiego, co uważa, że ​​bezpieczeństwo to jakaś czarna magia lub voodo.
HopelessN00b
2
@JoshuaShearer - ponieważ nie rozumieją, jest to prawdopodobnie kwestia dyskusyjna, ponieważ nie będą wiedzieli, czy to, co już mają, jest poprawne, czy nie ... W wielu małych i średnich firmach „admin” jest, "good with computers"ponieważ mają najnowsze błyszczące iThings zamiast prawdziwego profesjonalisty.
James Snell
11

Komponent Automatyczna Aktualizacja certyfikatów głównych przeznaczony jest do automatycznego sprawdzania listy zaufanych urzędów na stronie Microsoft Windows Update w sieci Web. W szczególności na komputerze lokalnym znajduje się lista zaufanych głównych urzędów certyfikacji (CA). Gdy aplikacja zostanie przedstawiona z certyfikatem wydanym przez urząd certyfikacji, sprawdzi lokalną kopię listy zaufanych głównych urzędów certyfikacji. Jeśli certyfikatu nie ma na liście, składnik automatycznej aktualizacji certyfikatów głównych skontaktuje się z witryną Microsoft Windows Update w sieci Web, aby sprawdzić, czy aktualizacja jest dostępna. Jeśli urząd certyfikacji został dodany do listy zaufanych urzędów certyfikacji Microsoft, jego certyfikat zostanie automatycznie dodany do zaufanego magazynu certyfikatów na komputerze.

Dlaczego tak często wyłącza się aktualizację certyfikatów głównych?

Krótka odpowiedź brzmi prawdopodobnie, że chodzi o kontrolę. Jeśli chcesz kontrolować, które główne urzędy certyfikacji są zaufane (zamiast korzystać z tej funkcji i pozwalać firmie Microsoft to zrobić za Ciebie), najłatwiej i najbezpieczniej jest stworzyć listę głównych urzędów certyfikacji, którym chcesz zaufać, rozpowszechniając je na komputerach domeny , a następnie zablokuj tę listę. Ponieważ zmiany na liście głównych urzędów certyfikacji, którym organizacja chce zaufać, byłyby stosunkowo rzadkie, wydaje się sensowne, że administrator chciałby przejrzeć i zatwierdzić wszelkie zmiany, zamiast pozwolić na automatyczną aktualizację.

Szczerze mówiąc, jeśli nikt nie wie, dlaczego to ustawienie jest włączone w danym środowisku, oznacza to, że nie należy go ustawiać.

Jakie są potencjalne skutki uboczne ponownego włączenia aktualizacji?

Komputery w domenie będą mogły sprawdzać listę zaufanych urzędów certyfikacji w witrynie Microsoft Windows Update i potencjalnie dodawać nowe certyfikaty do swojego zaufanego magazynu certyfikatów.

Jeśli jest to nieakceptowalne dla Twoich klientów / klientów, certyfikaty mogą być dystrybuowane przez GPO i będą musieli uwzględnić Twój certyfikat w dowolnej metodzie dystrybucji, której używają obecnie dla zaufanych certyfikatów.

Lub zawsze możesz zasugerować tymczasowe wyłączenie tej konkretnej zasady, aby umożliwić instalację produktu.

Beznadziejny
źródło
3

Nie zgodziłbym się, że często to wyłącza się. Lepszym sposobem sformułowania byłoby pytanie, dlaczego ktoś to wyłączył. Lepszym rozwiązaniem problemu byłoby sprawdzenie przez instalatora certyfikatów głównego / pośredniego urzędu certyfikacji i zainstalowanie ich, jeśli nie są obecne.

Program Trusted Root CA jest niezbędny. TON aplikacji po prostu nie działałby zgodnie z oczekiwaniami, gdyby był szeroko wyłączony. Pewnie, niektóre organizacje mogą wyłączyć tę funkcję, ale tak naprawdę zależy to od organizacji na podstawie ich wymagań. Błędne jest założenie, że każda aplikacja, która wymaga zewnętrznej zależności (certyfikatu głównego), zawsze będzie działać bez jej testowania. Zarówno twórcy aplikacji, jak i organizacje, które wyłączają tę funkcję, są odpowiedzialne za zapewnienie zależności zewnętrznej (certyfikatu głównego). Oznacza to, że jeśli organizacja wyłączy to, wiedzą, że mogą spodziewać się tego problemu (lub wkrótce się o nim dowiedzą).

Warto również zauważyć, że jednym z przydatnych celów mechanizmu programu Trusted Root CA (dynamiczna instalacja certyfikatów głównego urzędu certyfikacji) jest to, że nie jest praktyczne instalowanie wszystkich lub nawet większości dobrze znanych / zaufanych certyfikatów głównego urzędu certyfikacji. Niektóre składniki w systemie Windows psują się, jeśli zainstalowano zbyt wiele certyfikatów, więc jedyną możliwą praktyką jest instalowanie tylko tych certyfikatów, które są potrzebne, gdy są potrzebne.

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

„Problem w tym, że pakiet bezpieczeństwa SChannel używany do wysyłania zaufanych certyfikatów do klientów ma limit 16 KB. Dlatego zbyt wiele certyfikatów w sklepie może uniemożliwić serwerom TLS wysyłanie potrzebnych informacji o certyfikatach; zaczynają wysyłać, ale muszą przestać, kiedy osiągają 16 KB. Jeśli klienci nie mają odpowiednich informacji o certyfikacie, nie mogą korzystać z usług wymagających TLS do uwierzytelnienia, ponieważ pakiet aktualizacji certyfikatu głównego dostępny w KB 931125 ręcznie dodaje dużą liczbę certyfikatów do sklepu, stosując go do wyników serwerów w sklepie przekraczającym limit 16 KB i możliwość nieudanego uwierzytelnienia TLS. ”

Greg Askew
źródło
2
Dziękuję za odpowiedź, ale w oparciu o nasze doświadczenie w świecie rzeczywistym jest to powszechne i nie sądzę, aby jakikolwiek administrator serwera byłby szczęśliwy, gdybyśmy zainstalowali certyfikat root, jeśli zdecydują się nie ufać Microsoftowi. Również ... nasz instalator nie może działać bez certyfikatu, więc kurczak ... jajko ...
Jeroen Ritmeijer
Zrozumiałem, ale dowiedziałeś się również, że jesteś właścicielem testowania zależności zewnętrznej, dokumentując ją podczas instalacji i informując o tym klienta. To doświadczenie z prawdziwego świata. Wątpię, aby twoja baza klientów kwalifikowała się jako dane empiryczne na poparcie wniosku, że „powszechne” jest to, że ta funkcja jest wyłączona.
Greg Askew
@Muhimbi: Jako praktyczne obejście można podać instrukcje dla administratorów dotyczące ręcznej instalacji wymaganego certyfikatu, jeśli nie chcą oni pozwolić na automatyczne aktualizacje certyfikatu głównego.
Ilmari Karonen
@IlmariKaronen, już to robimy. Z jakiegoś powodu nie zawsze działa, nawet jeśli importują go do odpowiedniego sklepu. Być może jest to związane z tym, że wiele serwerów nie jest podłączonych do Internetu, więc nie mogą zweryfikować ważności certyfikatu.
Jeroen Ritmeijer
3

Mój powód wyłączenia usługi certif.service jest następujący:

Mam wiele systemów bez połączenia z Internetem. Również w większości przypadków brakuje im display / kb / mouse ze względu na fakt, że są maszynami wirtualnymi na dużym serwerze DatastoreServer. Tak więc we wszystkich przypadkach, gdy wymagają konserwacji / modyfikacji, korzystam z Windows RDP, aby się do nich dostać. Jeśli łączysz się z komputerem za pośrednictwem protokołu RDP, system Windows najpierw sprawdza aktualizacje certyfikatów online. Jeśli twój serwer / klient nie ma Internetu, zawiesi się na 10-20 sekund przed kontynuowaniem połączenia.

Codziennie wykonuję wiele połączeń RDP. Oszczędzam godziny, nie wpatrując się w wiadomość: „zabezpieczanie połączenia zdalnego” :) +1 za wyłączenie usługi certif.service!

Tommie84
źródło
Chociaż rozumiem, to jest POWAŻNY powód :-) Są lepsze sposoby na zrobienie tego. Miałem podobny problem (ze sprawdzaniem certyfikatów SharePoint i powolnym działaniem) wiele lat temu. Kilka rozwiązań i obejść można znaleźć na blog.muhimbi.com/2009/04/new-approach-to-solve-sharepoints.html
Jeroen Ritmeijer
0

Wiem, że to starszy wątek; Chciałbym jednak przedstawić alternatywne rozwiązanie. Użyj urzędu certyfikacji (ROOT CA) innego niż ten, z którego korzystasz. Innymi słowy, zmień certyfikat podpisywania na taki, który ma znacznie starszy, zatwierdzony główny urząd certyfikacji.

DIGICert oferuje to przy składaniu wniosku o certyfikat. Chociaż może to nie być domyślny główny urząd certyfikacji na koncie DIGICert, jest to opcja dostępna podczas przesyłania do nich CSR. BTW, nie pracuję dla DIGICert, ani nie zyskuję, polecając je. Po prostu odczuwam ten ból i spędziłem zbyt wiele godzin na oszczędzaniu 1000 USD na taniej certyfikacie, kiedy mogłem kupić droższy certyfikat i wydać dużo mniej czasu na rozwiązywanie problemów związanych ze wsparciem. To jest po prostu przykład. Są inni dostawcy certyfikatów oferujący to samo.

99% Zgodność Certyfikaty główne DigiCert należą do najbardziej zaufanych certyfikatów urzędowych na świecie. Jako takie są one automatycznie rozpoznawane przez wszystkie popularne przeglądarki internetowe, urządzenia mobilne i klientów poczty.

Zastrzeżenie - jeśli wybierzesz właściwy główny urząd certyfikacji podczas tworzenia CSR.

Edwin
źródło