Tại sao nhiều quản trị viên sử dụng chính sách 'Tắt tự động cập nhật chứng chỉ gốc'?

Công ty của tôi phân phối Windows Installer cho sản phẩm dựa trên Máy chủ. Theo thông lệ tốt nhất, nó được ký bằng một chứng chỉ. Theo lời khuyên của Microsoft, chúng tôi sử dụng chứng chỉ ký mã GlobalSign mà Microsoft tuyên bố mặc định được công nhận bởi tất cả các phiên bản Windows Server.

Bây giờ, tất cả đều hoạt động tốt trừ khi máy chủ đã được cấu hình với Chính sách nhóm: Cấu hình máy tính / Mẫu quản trị / Hệ thống / Quản lý giao tiếp Internet / Cài đặt giao tiếp Internet / Tắt Cập nhật chứng chỉ gốc tự động khi được bật .

Chúng tôi thấy rằng một trong những người thử nghiệm beta đầu tiên của chúng tôi đã chạy với cấu hình này dẫn đến lỗi sau khi cài đặt

Không thể cài đặt một tệp được yêu cầu vì tệp nội các [đường dẫn dài đến tệp cab] có chữ ký số không hợp lệ. Điều này có thể chỉ ra rằng các tập tin nội các bị hỏng.

Chúng tôi đã viết điều này như một sự kỳ quặc, sau khi tất cả không ai có thể giải thích tại sao hệ thống được cấu hình như thế này. Tuy nhiên, hiện tại phần mềm đã có sẵn để sử dụng chung, có vẻ như một chữ số (phần trăm) của khách hàng của chúng tôi được định cấu hình với cài đặt này và không ai biết tại sao. Nhiều người không muốn thay đổi cài đặt.

Chúng tôi đã viết một bài viết KB cho khách hàng của mình, nhưng chúng tôi thực sự không muốn vấn đề xảy ra vì chúng tôi thực sự quan tâm đến trải nghiệm của khách hàng.

Một số điều chúng tôi đã nhận thấy trong khi điều tra này:

1. Bản cài đặt Windows Server mới không hiển thị chứng chỉ Globalsign trong danh sách các cơ quan gốc đáng tin cậy.
2. Với Windows Server không được kết nối với internet, cài đặt phần mềm của chúng tôi hoạt động tốt. Khi kết thúc cài đặt, chứng nhận Globalsign có mặt (không được nhập bởi chúng tôi). Trong nền, Windows xuất hiện để cài đặt nó trong suốt lần sử dụng đầu tiên.

Vì vậy, đây là câu hỏi của tôi một lần nữa. Tại sao nó rất phổ biến để vô hiệu hóa cập nhật chứng chỉ gốc? Các tác dụng phụ tiềm năng của việc kích hoạt lại cập nhật là gì? Tôi muốn đảm bảo rằng chúng tôi có thể cung cấp cho khách hàng của chúng tôi các hướng dẫn phù hợp.

Vào cuối năm 2012 / đầu năm 2013, đã xảy ra sự cố với cập nhật chứng chỉ gốc tự động. Việc khắc phục tạm thời là vô hiệu hóa các bản cập nhật tự động, do đó một phần vấn đề này là lịch sử.

Nguyên nhân khác là chương trình Chứng chỉ gốc đáng tin cậy và Phân phối chứng chỉ gốc, mà (để diễn giải Microsoft ) ...

Chứng chỉ gốc được cập nhật tự động trên Windows. Khi [hệ thống] gặp chứng chỉ gốc mới, phần mềm xác minh chuỗi chứng chỉ Windows sẽ kiểm tra vị trí Microsoft Update thích hợp cho chứng chỉ gốc.

Cho đến nay, rất tốt nhưng sau đó ...

Nếu nó tìm thấy nó, nó tải nó vào hệ thống. Đối với người dùng, trải nghiệm là liền mạch. Người dùng không thấy bất kỳ hộp thoại bảo mật hoặc cảnh báo nào. Việc tải xuống diễn ra tự động, đằng sau hậu trường.

Khi điều này xảy ra, có thể các certs đang được tự động thêm vào cửa hàng Root. Tất cả điều này làm cho một số hệ thống quản lý lo lắng vì bạn không thể xóa CA 'xấu' khỏi các công cụ quản lý chứng chỉ vì chúng không ở đó để xóa ...

Trên thực tế, có nhiều cách để làm cho windows tải xuống danh sách đầy đủ để họ có thể chỉnh sửa nó theo ý muốn nhưng thông thường chỉ chặn các bản cập nhật. Một số lượng lớn các hệ thống không hiểu mã hóa hoặc bảo mật (nói chung) vì vậy họ tuân theo sự khôn ngoan nhận được (chính xác hay nói cách khác) mà không cần phải thay đổi những điều liên quan đến bảo mật mà họ không hiểu hoàn toàn tin vào điều đó một số nghệ thuật đen.

Thành phần Cập nhật chứng chỉ gốc tự động được thiết kế để tự động kiểm tra danh sách các cơ quan đáng tin cậy trên trang web Microsoft Windows Update. Cụ thể, có một danh sách các cơ quan chứng nhận gốc đáng tin cậy (CA) được lưu trữ trên máy tính cục bộ. Khi một ứng dụng được trình bày với một chứng chỉ do CA cấp, nó sẽ kiểm tra bản sao cục bộ của danh sách CA gốc đáng tin cậy. Nếu chứng chỉ không có trong danh sách, thành phần Cập nhật chứng chỉ gốc tự động sẽ liên hệ với trang web Microsoft Windows Update để xem có bản cập nhật nào không. Nếu CA đã được thêm vào danh sách CA đáng tin cậy của Microsoft, chứng chỉ của nó sẽ tự động được thêm vào kho chứng chỉ tin cậy trên máy tính.

Tại sao nó rất phổ biến để vô hiệu hóa cập nhật chứng chỉ gốc?

Câu trả lời ngắn có lẽ là về kiểm soát. Nếu bạn muốn kiểm soát những CA gốc nào đáng tin cậy (thay vì sử dụng tính năng này và để Microsoft làm điều đó cho bạn), thì dễ dàng và an toàn nhất để đưa ra danh sách các CA gốc mà bạn muốn tin tưởng, phân phối chúng cho các máy tính miền của bạn , và sau đó khóa danh sách đó. Do các thay đổi trong danh sách CA gốc mà tổ chức muốn tin tưởng sẽ tương đối hiếm, nên có ý nghĩa nhất định rằng quản trị viên sẽ muốn xem xét và phê duyệt bất kỳ thay đổi nào thay vì cho phép cập nhật tự động.

Thành thật mà nói, nếu không ai biết tại sao cài đặt này được bật trong một môi trường nhất định, điều đó có nghĩa là không nên đặt.

Các tác dụng phụ tiềm năng của việc kích hoạt lại cập nhật là gì?

Các máy tính miền sẽ được phép kiểm tra danh sách các CA đáng tin cậy trên Trang web Microsoft Windows Update và có khả năng thêm chứng chỉ mới vào kho chứng chỉ tin cậy của chúng.

Nếu điều này không được chấp nhận đối với khách hàng / khách hàng của bạn, chứng chỉ có thể được phân phối bởi GPO và họ sẽ cần đưa chứng chỉ của bạn vào bất kỳ phương thức phân phối nào mà họ hiện đang sử dụng cho chứng chỉ tin cậy.

Hoặc bạn luôn có thể đề xuất tạm thời vô hiệu hóa chính sách cụ thể này để cho phép cài đặt sản phẩm của mình.

Tôi sẽ không đồng ý rằng nó là phổ biến để vô hiệu hóa điều này. Một cách tốt hơn để diễn đạt nó là hỏi tại sao ai đó sẽ vô hiệu hóa nó. Và một giải pháp tốt hơn cho vấn đề của bạn sẽ là trình cài đặt kiểm tra các chứng chỉ CA gốc / trung gian và cài đặt chúng nếu không có.

Chương trình Trusted Root CA là điều cần thiết. Một TON các ứng dụng sẽ không hoạt động như mong đợi nếu nó bị tắt rộng rãi. Chắc chắn, có thể có một số tổ chức vô hiệu hóa tính năng này, nhưng điều đó thực sự tùy thuộc vào các tổ chức, dựa trên yêu cầu của họ. Đó là một giả định sai lầm rằng bất kỳ ứng dụng nào yêu cầu phụ thuộc bên ngoài (chứng chỉ gốc) sẽ luôn hoạt động mà không cần kiểm tra nó. Cả nhà phát triển ứng dụng và tổ chức vô hiệu hóa tính năng này đều có trách nhiệm đảm bảo sự phụ thuộc bên ngoài (chứng chỉ gốc). Điều đó có nghĩa là nếu một tổ chức vô hiệu hóa điều này, họ biết sẽ mong đợi vấn đề này (hoặc sẽ sớm tìm hiểu về nó).

Cũng đáng lưu ý rằng một mục đích hữu ích của cơ chế chương trình CA gốc đáng tin cậy (cài đặt động các chứng chỉ CA gốc) là không thực tế để cài đặt tất cả hoặc thậm chí hầu hết các chứng chỉ CA gốc nổi tiếng / đáng tin cậy. Một số thành phần trong Windows bị hỏng nếu có quá nhiều chứng chỉ được cài đặt, vì vậy cách thực hành khả thi duy nhất là chỉ cài đặt các chứng chỉ cần thiết khi cần thiết.

http://bloss.technet.com/b/windowsserver/archive/2013/01/12/fix-av Available-for-rot-certer-upload-su-on-windows-server.aspx

"Vấn đề là ở đây: gói bảo mật SChannel được sử dụng để gửi chứng chỉ tin cậy cho khách hàng có giới hạn 16KB. Do đó, việc có quá nhiều chứng chỉ trong cửa hàng có thể ngăn máy chủ TLS gửi thông tin chứng chỉ cần thiết; họ bắt đầu gửi nhưng phải dừng khi chúng đạt 16KB. Nếu khách hàng không có thông tin chứng chỉ phù hợp, họ không thể sử dụng các dịch vụ yêu cầu TLS để xác thực. Vì gói cập nhật chứng chỉ gốc có sẵn trong KB 931125 sẽ thêm một số lượng lớn chứng chỉ vào cửa hàng, áp dụng nó vào kết quả của máy chủ trong cửa hàng vượt quá giới hạn 16KB và khả năng xác thực TLS không thành công. "

Lý do của tôi để vô hiệu hóa certif.service như sau:

Tôi có nhiều hệ thống không có kết nối internet. Ngoài ra, trong hầu hết các trường hợp, họ thiếu hiển thị / kb / chuột vì thực tế chúng là các máy ảo trên một DatastoreServer lớn. Vì vậy, trong mọi trường hợp khi họ cần bảo trì / sửa đổi, tôi sử dụng Windows RDP để đến với họ. Nếu bạn kết nối với máy qua RDP, trước tiên Windows sẽ kiểm tra cập nhật chứng chỉ trực tuyến. Nếu máy chủ / máy khách của bạn không có internet, nó sẽ bị treo trong 10-20 giây trước khi tiếp tục kết nối.

Tôi thực hiện rất nhiều kết nối RDP mỗi ngày. Tôi tiết kiệm hàng giờ để không nhìn chằm chằm vào tin nhắn: "bảo vệ kết nối từ xa" :) +1 để vô hiệu hóa certif.service!

Tôi biết đây là một chủ đề cũ hơn; tuy nhiên, tôi muốn gửi một giải pháp thay thế. Sử dụng cơ quan cấp chứng chỉ (ROOT CA) khác với cơ quan bạn đang sử dụng. Nói cách khác, chuyển chứng chỉ ký của bạn sang chứng chỉ gốc đã được phê duyệt cũ hơn nhiều.

DIGICert cung cấp điều này khi yêu cầu chứng chỉ. Mặc dù đây có thể không phải là CA gốc mặc định trong tài khoản DIGICert của bạn, nhưng đây là một tùy chọn khả dụng khi gửi CSR cho họ. BTW, tôi không làm việc cho DIGICert và tôi cũng không có bất kỳ lợi ích nào bằng cách giới thiệu họ .. Tôi chỉ đơn giản cảm thấy nỗi đau này và đã dành quá nhiều giờ để tiết kiệm 1000 đô la Mỹ cho một chứng chỉ giá rẻ khi tôi có thể mua một chứng chỉ đắt tiền hơn và chi tiêu nhiều ít thời gian xử lý các vấn đề hỗ trợ. Đây chỉ đơn giản là một ví dụ. Có những nhà cung cấp chứng chỉ khác cung cấp điều tương tự.

Chứng chỉ gốc DigiCert tương thích 99% là một trong những chứng chỉ ủy quyền được tin cậy nhất trên thế giới. Như vậy, chúng được tự động nhận dạng bởi tất cả các trình duyệt web, thiết bị di động và ứng dụng thư khách thông thường.

Hãy cẩn thận - nếu bạn chọn CA gốc khi tạo CSR.