Perché molti amministratori utilizzano la politica "Disattiva aggiornamento automatico certificati principali"?

La mia azienda distribuisce un Windows Installer per un prodotto basato su Server. Secondo le migliori pratiche è firmato usando un certificato. In linea con i consigli di Microsoft, utilizziamo un certificato di firma del codice GlobalSign , che Microsoft afferma di essere riconosciuto per impostazione predefinita da tutte le versioni di Windows Server.

Ora, tutto funziona bene a meno che un server non sia stato configurato con Criteri di gruppo: Configurazione computer / Modelli amministrativi / Sistema / Gestione comunicazioni Internet / Impostazioni comunicazione Internet / Disattiva Aggiornamento certificato radice automatico come Abilitato .

Abbiamo scoperto che uno dei nostri primi beta tester era in esecuzione con questa configurazione con conseguente errore durante l'installazione

Un file richiesto non può essere installato perché il file CAB [percorso lungo al file cab] ha ​​una firma digitale non valida. Ciò può indicare che il file CAB è danneggiato.

Lo abbiamo scritto come una stranezza, dopo tutto nessuno è stato in grado di spiegare perché il sistema è stato configurato in questo modo. Tuttavia, ora che il software è disponibile per uso generale, sembra che una doppia cifra (percentuale) dei nostri clienti sia configurata con questa impostazione e nessuno sa perché. Molti sono riluttanti a modificare l'impostazione.

Abbiamo scritto un articolo KB per i nostri clienti, ma non vogliamo davvero che il problema si verifichi affatto poiché ci preoccupiamo davvero dell'esperienza del cliente.

Alcune cose che abbiamo notato durante lo studio di questo:

1. Una nuova installazione di Windows Server non mostra il certificato Globalsign nell'elenco delle autorità root attendibili.
2. Con Windows Server non connesso a Internet, l'installazione del nostro software funziona correttamente. Al termine dell'installazione è presente il certificato Globalsign (non importato da noi). Sullo sfondo Windows sembra installarlo in modo trasparente al primo utilizzo.

Quindi, ecco di nuovo la mia domanda. Perché è così comune disabilitare l'aggiornamento dei certificati radice? Quali sono i potenziali effetti collaterali dell'abilitazione degli aggiornamenti? Voglio assicurarmi di poter fornire ai nostri clienti la guida appropriata.

Tra la fine del 2012 e l'inizio del 2013 si è verificato un problema con gli aggiornamenti automatici del certificato radice. La soluzione temporanea era disabilitare gli aggiornamenti automatici, quindi in parte questo problema è storico.

L'altra causa è il programma Trusted Root Certificate e Root Certificate Distribution, che (per parafrasare Microsoft ) ...

I certificati di root vengono aggiornati automaticamente su Windows. Quando un [sistema] rileva un nuovo certificato radice, il software di verifica della catena di certificati di Windows controlla la posizione appropriata di Microsoft Update per il certificato radice.

Fin qui tutto bene, ma poi ...

Se lo trova, lo scarica sul sistema. Per l'utente, l'esperienza è perfetta. L'utente non visualizza finestre di dialogo di sicurezza o avvisi. Il download avviene automaticamente, dietro le quinte.

Quando ciò accade, può sembrare che i certificati vengano aggiunti automaticamente al negozio principale. Tutto ciò rende alcuni amministratori di sistema nervosi in quanto non è possibile rimuovere una CA "cattiva" dagli strumenti di gestione dei certificati perché non sono lì per rimuovere ...

In realtà ci sono modi per fare in modo che Windows scarichi l'elenco completo in modo che possano modificarlo come desiderano, ma è comune bloccare semplicemente gli aggiornamenti. Un gran numero di amministratori di sistema non capisce la crittografia o la sicurezza (in generale), quindi segue la saggezza ricevuta (corretta o meno) senza domande e non gli piace apportare modifiche alle cose che coinvolgono la sicurezza che non capiscono pienamente credendo che sia un po 'di arte nera.

Il componente Aggiornamento automatico certificati principali è progettato per controllare automaticamente l'elenco delle autorità affidabili sul sito Web Microsoft Windows Update. In particolare, esiste un elenco di autorità di certificazione radice (CA) attendibili archiviate nel computer locale. Quando viene presentata un'applicazione con un certificato emesso da una CA, controllerà la copia locale dell'elenco delle CA radice attendibili. Se il certificato non è presente nell'elenco, il componente Aggiornamento automatico certificati principali contatterà il sito Web Microsoft Windows Update per verificare la disponibilità di un aggiornamento. Se l'autorità di certificazione è stata aggiunta all'elenco Microsoft di autorità di certificazione attendibili, il relativo certificato verrà automaticamente aggiunto all'archivio di certificati attendibili sul computer.

Perché è così comune disabilitare l'aggiornamento dei certificati radice?

La risposta breve è probabilmente che riguarda il controllo. Se vuoi controllare quali CA principali sono affidabili (piuttosto che usare questa funzionalità e lasciare che Microsoft lo faccia per te), è più facile e sicuro creare un elenco di CA principali di cui ti fidi, distribuirle ai tuoi computer di dominio e quindi bloccare l'elenco. Poiché le modifiche all'elenco delle CA principali di cui un'organizzazione si fida sarebbe relativamente rara, è logico che un amministratore voglia rivedere e approvare eventuali modifiche anziché consentire un aggiornamento automatico.

Ad essere sinceri, se nessuno sa perché questa impostazione è abilitata in un determinato ambiente, ciò significa che non dovrebbe essere impostata.

Quali sono i potenziali effetti collaterali dell'abilitazione degli aggiornamenti?

Ai computer di dominio sarebbe consentito di confrontare l'elenco di autorità di certificazione attendibili sul sito di Microsoft Windows Update e di aggiungere potenzialmente nuovi certificati nel loro archivio di certificati attendibili.

Se ciò è inaccettabile per i vostri clienti / clienti, i certificati possono essere distribuiti dall'oggetto Criteri di gruppo e dovrebbero includere il certificato in qualsiasi metodo di distribuzione che attualmente utilizzano per i certificati attendibili.

Oppure potresti sempre suggerire di disabilitare temporaneamente questa particolare politica per consentire l'installazione del tuo prodotto.

Non sarei d'accordo che è comune disabilitarlo. Un modo migliore per formulare sarebbe chiedere perché qualcuno lo disabiliti. E una soluzione migliore per il tuo problema sarebbe che il programma di installazione controlli i certificati CA root / intermedi e li installi se non presenti.

Il programma Trusted Root CA è essenziale. Una tonnellata di applicazioni non funzionerebbe come previsto se fosse spenta. Certo, ci possono essere alcune organizzazioni che disabilitano questa funzione, ma dipende davvero dalle organizzazioni, in base ai loro requisiti. È un presupposto imperfetto che qualsiasi applicazione che richiede una dipendenza esterna (certificato radice) funzionerebbe sempre senza testarla. Sia gli sviluppatori di applicazioni che le organizzazioni che disabilitano questa funzionalità hanno la responsabilità di garantire la presenza della dipendenza esterna (certificato radice). Ciò significa che se un'organizzazione lo disabilita, sanno che si aspettano questo problema (o lo impareranno presto).

Vale anche la pena notare che uno scopo utile del meccanismo del programma CA radice attendibile (installazione dinamica dei certificati CA radice) è che non è pratico installare tutti o anche la maggior parte dei certificati CA radice noti o affidabili. Alcuni componenti di Windows si rompono se ci sono troppi certificati installati, quindi l'unica pratica possibile è installare solo i certificati necessari, quando sono necessari.

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

"Il problema è questo: il pacchetto di sicurezza SChannel utilizzato per inviare certificati affidabili ai client ha un limite di 16 KB. Pertanto, avere troppi certificati nel negozio può impedire ai server TLS di inviare le informazioni necessarie sul certificato; iniziano a inviare ma devono interrompere quando raggiungono i 16 KB. Se i client non dispongono delle giuste informazioni sul certificato, non possono utilizzare i servizi che richiedono TLS per l'autenticazione. Poiché il pacchetto di aggiornamento del certificato radice disponibile in KB 931125 aggiunge manualmente un numero elevato di certificati al negozio, applicandolo ai risultati dei server nel negozio che supera il limite di 16 KB e il potenziale per l'autenticazione TLS non riuscita. "

La mia ragione per disabilitare il servizio certif.service è la seguente:

Ho molti sistemi senza connessione a Internet. Inoltre, nella maggior parte dei casi mancano display / kb / mouse perché sono macchine virtuali su un grande DatastoreServer. Quindi, in tutti i casi in cui necessitano di manutenzione / modifica, utilizzo Windows RDP per accedervi. Se ti connetti a un computer tramite RDP, Windows controlla innanzitutto gli aggiornamenti dei certificati online. Se il tuo server / client non ha Internet, si blocca per 10-20 secondi prima di continuare la connessione.

Faccio molte connessioni RDP ogni giorno. Risparmio ore a non fissare il messaggio: "proteggere la connessione remota" :) +1 per disabilitare il servizio certif.service!

So che questo è un thread più vecchio; tuttavia, vorrei presentare una soluzione alternativa. Utilizzare un'autorità di certificazione (CA ROOT) diversa da quella in uso. In altre parole, passare il certificato di firma a uno che ha una CA radice approvata molto più vecchia.

DIGICert offre questo quando si richiede un certificato. Anche se questa potrebbe non essere la tua CA principale predefinita nel tuo account DIGICert, è un'opzione disponibile quando invii loro il CSR. A proposito, non lavoro per DIGICert né ho alcun guadagno raccomandandoli .. Sento semplicemente questo dolore e ho passato troppe ore a risparmiare $ 1000 US su un certificato economico quando avrei potuto acquistare un certificato più costoso e spendere molto meno tempo per affrontare i problemi di supporto. Questo è semplicemente un esempio. Ci sono altri fornitori di certificati che offrono la stessa cosa.

Compatibilità al 99% I certificati di radice DigiCert sono tra i certificati di autorità più affidabili al mondo. Pertanto, vengono automaticamente riconosciuti da tutti i browser Web, dispositivi mobili e client di posta comuni.

Avvertenza: se si seleziona la CA principale corretta durante la creazione del CSR.