Tại sao nhiều quản trị viên sử dụng chính sách 'Tắt tự động cập nhật chứng chỉ gốc'?


40

Công ty của tôi phân phối Windows Installer cho sản phẩm dựa trên Máy chủ. Theo thông lệ tốt nhất, nó được ký bằng một chứng chỉ. Theo lời khuyên của Microsoft, chúng tôi sử dụng chứng chỉ ký mã GlobalSign mà Microsoft tuyên bố mặc định được công nhận bởi tất cả các phiên bản Windows Server.

Bây giờ, tất cả đều hoạt động tốt trừ khi máy chủ đã được cấu hình với Chính sách nhóm: Cấu hình máy tính / Mẫu quản trị / Hệ thống / Quản lý giao tiếp Internet / Cài đặt giao tiếp Internet / Tắt Cập nhật chứng chỉ gốc tự động khi được bật .

Chúng tôi thấy rằng một trong những người thử nghiệm beta đầu tiên của chúng tôi đã chạy với cấu hình này dẫn đến lỗi sau khi cài đặt

Không thể cài đặt một tệp được yêu cầu vì tệp nội các [đường dẫn dài đến tệp cab] có chữ ký số không hợp lệ. Điều này có thể chỉ ra rằng các tập tin nội các bị hỏng.

Chúng tôi đã viết điều này như một sự kỳ quặc, sau khi tất cả không ai có thể giải thích tại sao hệ thống được cấu hình như thế này. Tuy nhiên, hiện tại phần mềm đã có sẵn để sử dụng chung, có vẻ như một chữ số (phần trăm) của khách hàng của chúng tôi được định cấu hình với cài đặt này và không ai biết tại sao. Nhiều người không muốn thay đổi cài đặt.

Chúng tôi đã viết một bài viết KB cho khách hàng của mình, nhưng chúng tôi thực sự không muốn vấn đề xảy ra vì chúng tôi thực sự quan tâm đến trải nghiệm của khách hàng.

Một số điều chúng tôi đã nhận thấy trong khi điều tra này:

  1. Bản cài đặt Windows Server mới không hiển thị chứng chỉ Globalsign trong danh sách các cơ quan gốc đáng tin cậy.
  2. Với Windows Server không được kết nối với internet, cài đặt phần mềm của chúng tôi hoạt động tốt. Khi kết thúc cài đặt, chứng nhận Globalsign có mặt (không được nhập bởi chúng tôi). Trong nền, Windows xuất hiện để cài đặt nó trong suốt lần sử dụng đầu tiên.

Vì vậy, đây là câu hỏi của tôi một lần nữa. Tại sao nó rất phổ biến để vô hiệu hóa cập nhật chứng chỉ gốc? Các tác dụng phụ tiềm năng của việc kích hoạt lại cập nhật là gì? Tôi muốn đảm bảo rằng chúng tôi có thể cung cấp cho khách hàng của chúng tôi các hướng dẫn phù hợp.


14
Chứng chỉ gốc mới xuất hiện trên tất cả các hệ thống mà không có cảnh báo hoặc tài liệu là mối quan tâm đối với một số người bảo mật. Họ chỉ đơn giản là không tin tưởng Microsoft hoàn toàn kiểm tra các chứng chỉ gốc mới mà không ít nhất là tự mình kiểm tra. Không có vấn đề gì khi Microsoft thực hiện những việc như đẩy 18 chứng chỉ gốc mới không có bất kỳ thông báo nào.
Brian

Bạn không thể kiểm tra xem chứng chỉ có sẵn trong hệ thống không và đề nghị tải xuống chứng chỉ của bạn từ trang web của bạn nếu cập nhật bị vô hiệu hóa?
Falco

@falco Nop, chứng chỉ phải được đặt đúng chỗ trước khi chúng tôi có thể chạy logic tùy chỉnh để phát hiện những thứ như thế này. Đó là toàn bộ quan điểm của các trình cài đặt ký kỹ thuật số. Ngoài ra, nếu quản trị viên đã vô hiệu hóa cập nhật certs gốc thì họ sẽ không vui khi để một số nhà cung cấp bên thứ ba làm điều này.
Jeroen Ritmeijer

Sau đó, bạn có thể cung cấp một trang web kiểm tra chứng chỉ mà người dùng có thể truy cập trước khi cài đặt sản phẩm của bạn? Giống như "truy cập .... để kiểm tra xem hệ thống của bạn có tương thích không" và trên trang web hiển thị các bước để cài đặt chứng chỉ nếu bạn phát hiện ra nó không có mặt?
Falco

1
@falco Mà chúng tôi có (ở một mức độ nào đó), hãy xem liên kết đến Bài viết KB trong câu hỏi của tôi. Ngoài ra ... mọi người không đọc hướng dẫn.
Jeroen Ritmeijer

Câu trả lời:


33

Vào cuối năm 2012 / đầu năm 2013, đã xảy ra sự cố với cập nhật chứng chỉ gốc tự động. Việc khắc phục tạm thời là vô hiệu hóa các bản cập nhật tự động, do đó một phần vấn đề này là lịch sử.

Nguyên nhân khác là chương trình Chứng chỉ gốc đáng tin cậy và Phân phối chứng chỉ gốc, mà (để diễn giải Microsoft ) ...

Chứng chỉ gốc được cập nhật tự động trên Windows. Khi [hệ thống] gặp chứng chỉ gốc mới, phần mềm xác minh chuỗi chứng chỉ Windows sẽ kiểm tra vị trí Microsoft Update thích hợp cho chứng chỉ gốc.

Cho đến nay, rất tốt nhưng sau đó ...

Nếu nó tìm thấy nó, nó tải nó vào hệ thống. Đối với người dùng, trải nghiệm là liền mạch. Người dùng không thấy bất kỳ hộp thoại bảo mật hoặc cảnh báo nào. Việc tải xuống diễn ra tự động, đằng sau hậu trường.

Khi điều này xảy ra, có thể các certs đang được tự động thêm vào cửa hàng Root. Tất cả điều này làm cho một số hệ thống quản lý lo lắng vì bạn không thể xóa CA 'xấu' khỏi các công cụ quản lý chứng chỉ vì chúng không ở đó để xóa ...

Trên thực tế, có nhiều cách để làm cho windows tải xuống danh sách đầy đủ để họ có thể chỉnh sửa nó theo ý muốn nhưng thông thường chỉ chặn các bản cập nhật. Một số lượng lớn các hệ thống không hiểu mã hóa hoặc bảo mật (nói chung) vì vậy họ tuân theo sự khôn ngoan nhận được (chính xác hay nói cách khác) mà không cần phải thay đổi những điều liên quan đến bảo mật mà họ không hiểu hoàn toàn tin vào điều đó một số nghệ thuật đen.


13
A great number of sysadmins [...] don't like making changes to things involving security that they don't fully understand believing it to be some black art.Vâng. Đáng buồn nhưng là sự thật.
HoplessN00b

8
@ HoplessN00b Vì vậy, bạn muốn họ tự do thực hiện các thay đổi cấu hình liên quan đến bảo mật mà họ không hiểu đầy đủ? Đó dường như là một đề xuất đáng sợ hơn nhiều đối với tôi.
Joshua Shearer

11
@JoshuaShearer Tôi muốn họ hiểu hoặc ngừng tự gọi mình là sysadins.
Kevin Krumwiede

2
@JoshuaShearer Giống như Kevin đã nói, nếu họ không hiểu về bảo mật, họ không nên là người quản trị và tôi thấy đó là một đề xuất đáng sợ để có một quản trị viên của bất cứ ai nghĩ rằng bảo mật là ma thuật đen hoặc voodo.
Vô vọngN00b

2
@JoshuaShearer - vì họ không hiểu, nên có thể tranh cãi vì họ sẽ không biết liệu những gì họ đã có là đúng hay không ... Trong nhiều doanh nghiệp vừa và nhỏ, 'quản trị viên' là "good with computers"vì họ có iThings sáng bóng mới nhất hơn là một chuyên gia chính hãng.
James Snell

11

Thành phần Cập nhật chứng chỉ gốc tự động được thiết kế để tự động kiểm tra danh sách các cơ quan đáng tin cậy trên trang web Microsoft Windows Update. Cụ thể, có một danh sách các cơ quan chứng nhận gốc đáng tin cậy (CA) được lưu trữ trên máy tính cục bộ. Khi một ứng dụng được trình bày với một chứng chỉ do CA cấp, nó sẽ kiểm tra bản sao cục bộ của danh sách CA gốc đáng tin cậy. Nếu chứng chỉ không có trong danh sách, thành phần Cập nhật chứng chỉ gốc tự động sẽ liên hệ với trang web Microsoft Windows Update để xem có bản cập nhật nào không. Nếu CA đã được thêm vào danh sách CA đáng tin cậy của Microsoft, chứng chỉ của nó sẽ tự động được thêm vào kho chứng chỉ tin cậy trên máy tính.

Tại sao nó rất phổ biến để vô hiệu hóa cập nhật chứng chỉ gốc?

Câu trả lời ngắn có lẽ là về kiểm soát. Nếu bạn muốn kiểm soát những CA gốc nào đáng tin cậy (thay vì sử dụng tính năng này và để Microsoft làm điều đó cho bạn), thì dễ dàng và an toàn nhất để đưa ra danh sách các CA gốc mà bạn muốn tin tưởng, phân phối chúng cho các máy tính miền của bạn , và sau đó khóa danh sách đó. Do các thay đổi trong danh sách CA gốc mà tổ chức muốn tin tưởng sẽ tương đối hiếm, nên có ý nghĩa nhất định rằng quản trị viên sẽ muốn xem xét và phê duyệt bất kỳ thay đổi nào thay vì cho phép cập nhật tự động.

Thành thật mà nói, nếu không ai biết tại sao cài đặt này được bật trong một môi trường nhất định, điều đó có nghĩa là không nên đặt.

Các tác dụng phụ tiềm năng của việc kích hoạt lại cập nhật là gì?

Các máy tính miền sẽ được phép kiểm tra danh sách các CA đáng tin cậy trên Trang web Microsoft Windows Update và có khả năng thêm chứng chỉ mới vào kho chứng chỉ tin cậy của chúng.

Nếu điều này không được chấp nhận đối với khách hàng / khách hàng của bạn, chứng chỉ có thể được phân phối bởi GPO và họ sẽ cần đưa chứng chỉ của bạn vào bất kỳ phương thức phân phối nào mà họ hiện đang sử dụng cho chứng chỉ tin cậy.

Hoặc bạn luôn có thể đề xuất tạm thời vô hiệu hóa chính sách cụ thể này để cho phép cài đặt sản phẩm của mình.


3

Tôi sẽ không đồng ý rằng nó là phổ biến để vô hiệu hóa điều này. Một cách tốt hơn để diễn đạt nó là hỏi tại sao ai đó sẽ vô hiệu hóa nó. Và một giải pháp tốt hơn cho vấn đề của bạn sẽ là trình cài đặt kiểm tra các chứng chỉ CA gốc / trung gian và cài đặt chúng nếu không có.

Chương trình Trusted Root CA là điều cần thiết. Một TON các ứng dụng sẽ không hoạt động như mong đợi nếu nó bị tắt rộng rãi. Chắc chắn, có thể có một số tổ chức vô hiệu hóa tính năng này, nhưng điều đó thực sự tùy thuộc vào các tổ chức, dựa trên yêu cầu của họ. Đó là một giả định sai lầm rằng bất kỳ ứng dụng nào yêu cầu phụ thuộc bên ngoài (chứng chỉ gốc) sẽ luôn hoạt động mà không cần kiểm tra nó. Cả nhà phát triển ứng dụng và tổ chức vô hiệu hóa tính năng này đều có trách nhiệm đảm bảo sự phụ thuộc bên ngoài (chứng chỉ gốc). Điều đó có nghĩa là nếu một tổ chức vô hiệu hóa điều này, họ biết sẽ mong đợi vấn đề này (hoặc sẽ sớm tìm hiểu về nó).

Cũng đáng lưu ý rằng một mục đích hữu ích của cơ chế chương trình CA gốc đáng tin cậy (cài đặt động các chứng chỉ CA gốc) là không thực tế để cài đặt tất cả hoặc thậm chí hầu hết các chứng chỉ CA gốc nổi tiếng / đáng tin cậy. Một số thành phần trong Windows bị hỏng nếu có quá nhiều chứng chỉ được cài đặt, vì vậy cách thực hành khả thi duy nhất là chỉ cài đặt các chứng chỉ cần thiết khi cần thiết.

http://bloss.technet.com/b/windowsserver/archive/2013/01/12/fix-av Available-for-rot-certer-upload-su-on-windows-server.aspx

"Vấn đề là ở đây: gói bảo mật SChannel được sử dụng để gửi chứng chỉ tin cậy cho khách hàng có giới hạn 16KB. Do đó, việc có quá nhiều chứng chỉ trong cửa hàng có thể ngăn máy chủ TLS gửi thông tin chứng chỉ cần thiết; họ bắt đầu gửi nhưng phải dừng khi chúng đạt 16KB. Nếu khách hàng không có thông tin chứng chỉ phù hợp, họ không thể sử dụng các dịch vụ yêu cầu TLS để xác thực. Vì gói cập nhật chứng chỉ gốc có sẵn trong KB 931125 sẽ thêm một số lượng lớn chứng chỉ vào cửa hàng, áp dụng nó vào kết quả của máy chủ trong cửa hàng vượt quá giới hạn 16KB và khả năng xác thực TLS không thành công. "


2
Cảm ơn câu trả lời của bạn, nhưng dựa trên kinh nghiệm thực tế của chúng tôi, nó rất phổ biến và tôi không nghĩ bất kỳ quản trị viên máy chủ nào cũng vui lòng cho chúng tôi cài đặt chứng chỉ gốc nếu họ đã đưa ra quyết định thậm chí không tin tưởng Microsoft với điều này. Ngoài ra .... trình cài đặt của chúng tôi không thể chạy mà không có chứng chỉ nên gà ... trứng ...
Jeroen Ritmeijer

Hiểu, nhưng bạn cũng học được rằng bạn sở hữu thử nghiệm sự phụ thuộc bên ngoài, ghi lại tài liệu này để cài đặt và truyền đạt yêu cầu cho khách hàng. Đó là kinh nghiệm thế giới thực. Tôi nghi ngờ rằng cơ sở khách hàng của bạn sẽ đủ điều kiện là dữ liệu thực nghiệm để hỗ trợ cho kết luận rằng "thông thường" là tính năng này bị vô hiệu hóa.
Greg Askew

@Muhimbi: Là một giải pháp thực tế, bạn có thể cung cấp hướng dẫn cho quản trị viên để cài đặt thủ công chứng chỉ được yêu cầu, nếu họ không muốn cho phép cập nhật chứng chỉ gốc tự động.
Ilmari Karonen

@IlmariKaronen, chúng tôi đã làm. Vì một số lý do, nó không phải lúc nào cũng hoạt động, ngay cả khi họ nhập nó vào đúng cửa hàng. Có lẽ nó liên quan đến nhiều máy chủ không được kết nối với internet nên họ không thể xác minh tính hợp lệ của chứng chỉ.
Jeroen Ritmeijer

3

Lý do của tôi để vô hiệu hóa certif.service như sau:

Tôi có nhiều hệ thống không có kết nối internet. Ngoài ra, trong hầu hết các trường hợp, họ thiếu hiển thị / kb / chuột vì thực tế chúng là các máy ảo trên một DatastoreServer lớn. Vì vậy, trong mọi trường hợp khi họ cần bảo trì / sửa đổi, tôi sử dụng Windows RDP để đến với họ. Nếu bạn kết nối với máy qua RDP, trước tiên Windows sẽ kiểm tra cập nhật chứng chỉ trực tuyến. Nếu máy chủ / máy khách của bạn không có internet, nó sẽ bị treo trong 10-20 giây trước khi tiếp tục kết nối.

Tôi thực hiện rất nhiều kết nối RDP mỗi ngày. Tôi tiết kiệm hàng giờ để không nhìn chằm chằm vào tin nhắn: "bảo vệ kết nối từ xa" :) +1 để vô hiệu hóa certif.service!


Mặc dù tôi hiểu, đó là một lý do TERRIBLE :-) Có nhiều cách tốt hơn để làm điều này. Tôi gặp phải một vấn đề tương tự (với chứng chỉ kiểm tra SharePoint và bị chậm do kết quả) nhiều năm trước. Bạn có thể tìm thấy một số giải pháp và cách giải quyết tại blog.muhimbi.com/2009/04/new-approach-to-solve-sharepoints.html
Jeroen Ritmeijer

0

Tôi biết đây là một chủ đề cũ hơn; tuy nhiên, tôi muốn gửi một giải pháp thay thế. Sử dụng cơ quan cấp chứng chỉ (ROOT CA) khác với cơ quan bạn đang sử dụng. Nói cách khác, chuyển chứng chỉ ký của bạn sang chứng chỉ gốc đã được phê duyệt cũ hơn nhiều.

DIGICert cung cấp điều này khi yêu cầu chứng chỉ. Mặc dù đây có thể không phải là CA gốc mặc định trong tài khoản DIGICert của bạn, nhưng đây là một tùy chọn khả dụng khi gửi CSR cho họ. BTW, tôi không làm việc cho DIGICert và tôi cũng không có bất kỳ lợi ích nào bằng cách giới thiệu họ .. Tôi chỉ đơn giản cảm thấy nỗi đau này và đã dành quá nhiều giờ để tiết kiệm 1000 đô la Mỹ cho một chứng chỉ giá rẻ khi tôi có thể mua một chứng chỉ đắt tiền hơn và chi tiêu nhiều ít thời gian xử lý các vấn đề hỗ trợ. Đây chỉ đơn giản là một ví dụ. Có những nhà cung cấp chứng chỉ khác cung cấp điều tương tự.

Chứng chỉ gốc DigiCert tương thích 99% là một trong những chứng chỉ ủy quyền được tin cậy nhất trên thế giới. Như vậy, chúng được tự động nhận dạng bởi tất cả các trình duyệt web, thiết bị di động và ứng dụng thư khách thông thường.

Hãy cẩn thận - nếu bạn chọn CA gốc khi tạo CSR.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.