เหตุใดผู้ดูแลระบบจำนวนมากที่ใช้นโยบาย 'ปิดการปรับปรุงใบรับรองรูตอัตโนมัติ'

40

บริษัท ของฉันกระจาย Windows Installer สำหรับผลิตภัณฑ์ที่ใช้เซิร์ฟเวอร์ ตามแนวทางปฏิบัติที่ดีที่สุดจะมีการลงชื่อโดยใช้ใบรับรอง ตามคำแนะนำของ Microsoftเราใช้ใบรับรองการลงนามรหัส GlobalSignซึ่ง Microsoft อ้างว่าเป็นที่รู้จักโดยค่าเริ่มต้นโดย Windows Server ทุกรุ่น

ตอนนี้ทุกคนทำงานได้ดียกเว้นในกรณีที่เซิร์ฟเวอร์ได้รับการกำหนดค่าด้วยนโยบายกลุ่ม: การตั้งค่าการกำหนดค่าคอมพิวเตอร์ / Administrative Templates / ระบบ Internet / การจัดการการสื่อสาร / อินเทอร์เน็ตการสื่อสาร / ปิดอัตโนมัติรากใบรับรองการปรับปรุงเป็นที่เปิดใช้งาน

เราพบว่าหนึ่งในผู้ทดสอบเบต้ารุ่นแรกของเรากำลังทำงานกับการกำหนดค่านี้ทำให้เกิดข้อผิดพลาดต่อไปนี้ระหว่างการติดตั้ง

ไฟล์ที่ต้องการไม่สามารถติดตั้งได้เนื่องจากไฟล์ cabinet [พา ธ ยาวไปยังไฟล์ cab] มีลายเซ็นดิจิทัลที่ไม่ถูกต้อง นี่อาจบ่งบอกว่าไฟล์ cabinet เสียหาย

เราเขียนสิ่งนี้เป็นเรื่องแปลกเพราะไม่มีใครสามารถอธิบายได้ว่าทำไมระบบจึงถูกกำหนดค่าเช่นนี้ อย่างไรก็ตามในขณะนี้ซอฟต์แวร์นั้นมีให้สำหรับการใช้งานทั่วไปปรากฏว่าลูกค้าของเราได้รับการกำหนดค่าสองหลัก (เปอร์เซ็นต์) ด้วยการตั้งค่านี้และไม่มีใครรู้ว่าทำไม หลายคนลังเลที่จะเปลี่ยนการตั้งค่า

เราได้เขียนบทความ KBสำหรับลูกค้าของเรา แต่เราไม่ต้องการให้ปัญหาเกิดขึ้นจริงๆเพราะเราให้ความสำคัญกับประสบการณ์ของลูกค้า

บางสิ่งที่เราสังเกตเห็นในขณะที่ตรวจสอบสิ่งนี้:

การติดตั้ง Windows Server ใหม่จะไม่แสดงใบรับรอง Globalsign ในรายการของผู้ให้บริการหลักที่เชื่อถือได้
ด้วย Windows Server ที่ไม่ได้เชื่อมต่อกับอินเทอร์เน็ตการติดตั้งซอฟต์แวร์ของเราก็ใช้งานได้ดี ในตอนท้ายของการติดตั้งใบรับรอง Globalsign มีอยู่ (ไม่ได้นำเข้าจากเรา) ในพื้นหลัง Windows ปรากฏขึ้นเพื่อติดตั้งอย่างโปร่งใสในการใช้งานครั้งแรก

ดังนั้นนี่คือคำถามของฉันอีกครั้ง ทำไมการปิดใช้งานการอัปเดตใบรับรองหลักจึงเป็นเรื่องปกติ ผลข้างเคียงที่อาจเกิดขึ้นจากการเปิดใช้งานการอัพเดตอีกครั้งคืออะไร? ฉันต้องการให้แน่ใจว่าเราสามารถให้คำแนะนำที่เหมาะสมแก่ลูกค้าของเรา

windows group-policy certificate

— Jeroen Ritmeijer
แหล่งที่มา

14

ใบรับรองรูทใหม่ที่ปรากฏในทุกระบบโดยไม่มีการเตือนหรือเอกสารประกอบเป็นสิ่งที่คนกังวลด้านความปลอดภัย พวกเขาไม่ไว้วางใจ Microsoft ให้ตรวจสอบใบรับรองหลักใหม่อย่างเต็มที่โดยที่อย่างน้อยก็ทำการตรวจค้นด้วยตนเอง ไม่ช่วยเรื่องสำคัญเมื่อ Microsoft ทำสิ่งต่าง ๆ เช่นการผลักดันใบรับรองหลักใหม่ 18 ใบโดยไม่แจ้งให้ทราบล่วงหน้า

— Brian

คุณไม่สามารถตรวจสอบว่าใบรับรองมีอยู่ในระบบและเสนอให้ดาวน์โหลดใบรับรองด้วยตนเองจากเว็บไซต์ของคุณหรือไม่หากการอัปเดตถูกปิดใช้งาน

— Falco

@falco Nop ต้องมีใบรับรองก่อนที่เราจะสามารถเรียกใช้ตรรกะที่กำหนดเองเพื่อตรวจจับสิ่งต่าง ๆ เช่นนี้ นั่นคือจุดรวมของการลงนามการติดตั้งแบบดิจิทัล นอกจากนี้หากผู้ดูแลระบบปิดใช้งานการอัปเดตรูทแล้วพวกเขาจะไม่ยินดีที่จะให้ผู้ขายบุคคลที่สามทำเช่นนี้

— Jeroen Ritmeijer

จากนั้นคุณสามารถจัดหาเว็บไซต์ที่ตรวจสอบใบรับรองซึ่งผู้ใช้สามารถเยี่ยมชมก่อนที่จะติดตั้งผลิตภัณฑ์ของคุณ? กดไลค์ "เยี่ยมชม .... เพื่อตรวจสอบว่าระบบของคุณใช้งานได้หรือไม่" และในขั้นตอนการแสดงเว็บไซต์เพื่อติดตั้งใบรับรองหากคุณตรวจพบว่าไม่มีอยู่

— Falco

1

@falco ซึ่งเรามี (ในระดับหนึ่ง) ดูลิงค์ไปยังบทความ KB ในคำถามของฉัน นอกจากนี้ ... ผู้คนไม่อ่านคำแนะนำ

— Jeroen Ritmeijer

33

ในช่วงปลายปี 2012 / ต้นปี 2013 มีปัญหากับการปรับปรุงใบรับรองรูทอัตโนมัติ การแก้ไขชั่วคราวคือการปิดใช้งานการอัปเดตอัตโนมัติดังนั้นปัญหานี้ส่วนหนึ่งเป็นประวัติ

สาเหตุอื่น ๆ คือโปรแกรมใบรับรองหลักที่เชื่อถือได้และการแจกจ่ายใบรับรองหลักซึ่ง (เพื่อถอดความMicrosoft ) ...

ใบรับรองหลักจะได้รับการอัพเดตบน Windows โดยอัตโนมัติ เมื่อ [ระบบ] พบใบรับรองรูทใหม่ซอฟต์แวร์ตรวจสอบห่วงโซ่ใบรับรอง Windows จะตรวจสอบตำแหน่ง Microsoft Update ที่เหมาะสมสำหรับใบรับรองรูท

จนถึงตอนนี้ดีมาก แต่แล้ว ...

หากพบมันจะทำการดาวน์โหลดไปยังระบบ สำหรับผู้ใช้ประสบการณ์เป็นไปอย่างราบรื่น ผู้ใช้ไม่เห็นกล่องโต้ตอบความปลอดภัยหรือคำเตือนใด ๆ การดาวน์โหลดจะเกิดขึ้นโดยอัตโนมัติเบื้องหลัง

เมื่อสิ่งนี้เกิดขึ้นอาจปรากฏว่ามีการเพิ่ม certs โดยอัตโนมัติไปยังที่เก็บ Root ทั้งหมดนี้ทำให้ sysadmins กังวลเพราะคุณไม่สามารถลบ 'bad' CA ออกจากเครื่องมือการจัดการใบรับรองได้เนื่องจากพวกเขาไม่ได้อยู่ที่นั่นเพื่อลบ ...

ที่จริงแล้วมีวิธีที่จะทำให้ windows ดาวน์โหลดรายการทั้งหมดเพื่อให้พวกเขาสามารถแก้ไขได้ตามที่พวกเขาต้องการ แต่มันเป็นเรื่องธรรมดาที่จะเพียงแค่ปิดกั้นการปรับปรุง ผู้ดูแลระบบจำนวนมากไม่เข้าใจการเข้ารหัสหรือความปลอดภัย (โดยทั่วไป) ดังนั้นพวกเขาจึงติดตามการรับที่ได้รับ (ถูกต้องหรืออย่างอื่น) โดยไม่มีคำถามและพวกเขาไม่ชอบการเปลี่ยนแปลงสิ่งต่าง ๆ ที่เกี่ยวข้องกับความปลอดภัยที่พวกเขาไม่เข้าใจอย่างเต็มที่ ศิลปะสีดำ

— James Snell
แหล่งที่มา

13

A great number of sysadmins [...] don't like making changes to things involving security that they don't fully understand believing it to be some black art.

ใช่. เศร้า แต่จริง

— HopelessN00b

8

@ HopelessN00b คุณต้องการให้พวกเขาเปลี่ยนแปลงการกำหนดค่าที่เกี่ยวข้องกับความปลอดภัยอย่างอิสระโดยที่พวกเขาไม่เข้าใจหรือไม่ นั่นเป็นข้อเสนอที่น่ากลัวกว่าสำหรับฉัน

— Joshua Shearer

11

@JoshuaShearer ฉันต้องการให้พวกเขาเข้าใจหรือหยุดเรียกตัวเองว่าดูแลระบบ

— เควิน Krumwiede

2

@JoshuaShearer อย่างที่เควินพูดหากพวกเขาไม่เข้าใจความปลอดภัยพวกเขาไม่ควรเป็นผู้ดูแลและฉันคิดว่ามันเป็นข้อเสนอที่น่ากลัวที่จะมีผู้ดูแลระบบของสิ่งใดก็ตามที่คิดว่าการรักษาความปลอดภัยนั้นเป็นเวทมนตร์หรือวูดู

— HopelessN00b

2

@JoshuaShearer - เนื่องจากพวกเขาไม่เข้าใจมันเป็น moot เนื้อหาที่พวกเขาไม่รู้ว่าสิ่งที่พวกเขามีอยู่นั้นถูกต้องหรือไม่ ... ในธุรกิจขนาดเล็กขนาดกลางจำนวนมาก 'admin' นั้นเป็น"good with computers"เพราะพวกเขามี iThings มันวาวล่าสุด มากกว่ามืออาชีพของแท้

— James Snell

11

องค์ประกอบราก Automatic Update ใบรับรองถูกออกแบบมาเพื่อตรวจสอบรายชื่อของหน่วยงานที่เชื่อถือได้โดยอัตโนมัติบนเว็บไซต์ Microsoft Windows Update เว็บ มีรายการของผู้ให้บริการออกใบรับรองหลักที่น่าเชื่อถือ (CA) ที่จัดเก็บไว้ในเครื่องคอมพิวเตอร์ เมื่อแอปพลิเคชันแสดงพร้อมใบรับรองที่ออกโดย CA นั้นจะตรวจสอบสำเนาโลคัลของรายการ CA หลักที่เชื่อถือได้ หากใบรับรองไม่อยู่ในรายการคอมโพเนนต์การปรับปรุงใบรับรองรูทอัตโนมัติจะติดต่อเว็บไซต์ Microsoft Windows Update เพื่อดูว่ามีการอัพเดทหรือไม่ หากมีการเพิ่ม CA ในรายการ Microsoft ของ CA ที่เชื่อถือได้ใบรับรองของมันจะถูกเพิ่มไปยังที่เก็บใบรับรองที่เชื่อถือได้บนคอมพิวเตอร์โดยอัตโนมัติ

ทำไมการปิดใช้งานการอัปเดตใบรับรองหลักจึงเป็นเรื่องปกติ

คำตอบสั้น ๆ น่าจะเป็นเรื่องของการควบคุม หากคุณต้องการควบคุม CA ที่รูทไว้วางใจ (แทนที่จะใช้คุณสมบัตินี้และให้ Microsoft ทำเพื่อคุณ) เป็นวิธีที่ง่ายที่สุดและปลอดภัยที่สุดในการหารายชื่อ CA ที่รูตที่คุณต้องการเชื่อถือกระจายไปยังคอมพิวเตอร์โดเมนของคุณ แล้วล็อกรายการนั้น เนื่องจากการเปลี่ยนแปลงรายการรูต CA องค์กรต้องการเชื่อถือได้ค่อนข้างหายากจึงทำให้มีความรู้สึกว่าผู้ดูแลระบบต้องการตรวจทานและอนุมัติการเปลี่ยนแปลงใด ๆ แทนที่จะยอมให้มีการอัปเดตอัตโนมัติ

หากต้องการเปิดเผยอย่างสมบูรณ์หากไม่มีใครรู้ว่าทำไมการตั้งค่านี้เปิดใช้งานในสภาพแวดล้อมที่กำหนดนั่นหมายความว่าไม่ควรตั้งค่า

ผลข้างเคียงที่อาจเกิดขึ้นจากการเปิดใช้งานการอัพเดตอีกครั้งคืออะไร?

คอมพิวเตอร์โดเมนจะได้รับอนุญาตให้ตรวจสอบรายการ CA ที่เชื่อถือได้ในไซต์ Microsoft Windows Update และอาจเพิ่มใบรับรองใหม่ลงในที่เก็บใบรับรองที่เชื่อถือได้

หากสิ่งนี้ไม่เป็นที่ยอมรับต่อลูกค้า / ลูกค้าของคุณใบรับรองสามารถเผยแพร่โดย GPO และพวกเขาจะต้องรวมใบรับรองของคุณในวิธีการแจกจ่ายใดก็ตามที่พวกเขาใช้ในปัจจุบันสำหรับใบรับรองที่เชื่อถือได้

หรือคุณสามารถแนะนำให้ปิดใช้งานนโยบายนี้เป็นการชั่วคราวเพื่อให้สามารถติดตั้งผลิตภัณฑ์ของคุณได้

— HopelessN00b
แหล่งที่มา

3

ฉันจะไม่ยอมรับว่ามันเป็นเรื่องธรรมดาที่จะปิดการใช้งานนี้ วิธีที่ดีกว่าในการพูดวลีนั้นคือถามว่าทำไมบางคนถึงปิดใช้งาน และทางออกที่ดีกว่าสำหรับปัญหาของคุณก็คือผู้ติดตั้งจะตรวจสอบใบรับรอง CA ระดับรูท / ระดับกลางและติดตั้งหากไม่มีอยู่

โปรแกรม Trusted Root CA เป็นสิ่งจำเป็น แอปพลิเคชัน TON จะไม่ทำงานอย่างที่คาดไว้หากปิดใช้งานอย่างกว้างขวาง แน่นอนว่าอาจมีบางองค์กรที่ปิดใช้งานคุณลักษณะนี้ แต่ขึ้นอยู่กับองค์กรตามความต้องการของพวกเขา มันเป็นข้อสันนิษฐานที่มีข้อบกพร่องว่าแอปพลิเคชันใด ๆ ที่ต้องการการพึ่งพาจากภายนอก (ใบรับรองหลัก) มักจะทำงานได้โดยไม่ต้องทดสอบ ทั้งนักพัฒนาแอปพลิเคชันและองค์กรที่ปิดใช้งานคุณลักษณะนี้มีหน้าที่รับผิดชอบในการตรวจสอบว่ามีการพึ่งพาจากภายนอก (ใบรับรองหลัก) ซึ่งหมายความว่าหากองค์กรปิดใช้งานสิ่งนี้พวกเขารู้ว่าจะคาดหวังปัญหานี้ (หรือจะเรียนรู้เกี่ยวกับมันในไม่ช้า)

นอกจากนี้ยังเป็นที่น่าสังเกตว่าจุดประสงค์ที่มีประโยชน์อย่างหนึ่งของกลไกโปรแกรม Trusted Root CA (การติดตั้งใบรับรอง CA แบบไดนามิก) คือการติดตั้งใบรับรอง CA root ที่รู้จักกันดี / เชื่อถือได้ทั้งหมดหรือแม้แต่ในเชิงปฏิบัติ ส่วนประกอบบางอย่างใน Windows หยุดทำงานหากมีการติดตั้งใบรับรองจำนวนมากเกินไปดังนั้นวิธีปฏิบัติที่เป็นไปได้เพียงอย่างเดียวคือการติดตั้งเฉพาะใบรับรองที่จำเป็นเมื่อจำเป็นต้องใช้

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

"ปัญหาคือ: แพคเกจความปลอดภัย SChannel ที่ใช้ในการส่งใบรับรองที่เชื่อถือได้ไปยังไคลเอนต์มีขีด จำกัด 16KB ดังนั้นการมีใบรับรองมากเกินไปในร้านค้าสามารถป้องกันเซิร์ฟเวอร์ TLS จากการส่งข้อมูลใบรับรองที่จำเป็นพวกเขาเริ่มส่ง แต่ต้องหยุดเมื่อ พวกเขามาถึง 16KB หากลูกค้าไม่มีข้อมูลใบรับรองที่ถูกต้องพวกเขาไม่สามารถใช้บริการที่ต้องใช้ TLS สำหรับการตรวจสอบความถูกต้องเนื่องจากแพ็คเกจการปรับปรุงใบรับรองหลักที่มีอยู่ใน KB 931125 ด้วยตนเองเพิ่มใบรับรองจำนวนมากไปยังร้านค้า ในร้านค้าเกินขีด จำกัด 16KB และโอกาสในการตรวจสอบ TLS ที่ล้มเหลว "

— เกร็กเบน
แหล่งที่มา

2

ขอบคุณสำหรับคำตอบของคุณ แต่จากประสบการณ์การใช้งานจริงของเรามันเป็นเรื่องธรรมดาและฉันไม่คิดว่าผู้ดูแลระบบเซิร์ฟเวอร์คนใดยินดีที่เราจะติดตั้งใบรับรองหลักหากพวกเขาตัดสินใจไม่แม้แต่จะไว้วางใจ Microsoft ด้วยสิ่งนี้ นอกจากนี้ .... โปรแกรมติดตั้งของเราไม่สามารถทำงานได้หากไม่มีใบรับรองดังนั้นไก่ ... ไข่ ...

— Jeroen Ritmeijer

เข้าใจ แต่คุณยังได้เรียนรู้ว่าคุณเป็นเจ้าของการทดสอบการพึ่งพาภายนอกจัดทำเอกสารนี้สำหรับการติดตั้งและการสื่อสารความต้องการกับลูกค้า นั่นคือประสบการณ์ในโลกแห่งความจริง ฉันสงสัยว่าฐานลูกค้าของคุณจะมีคุณสมบัติเป็นข้อมูลเชิงประจักษ์เพื่อสนับสนุนข้อสรุปว่า "ธรรมดา" ที่คุณสมบัตินี้ถูกปิดใช้งาน

— Greg Askew

@Muhimbi: คุณสามารถให้คำแนะนำสำหรับผู้ดูแลระบบในการติดตั้งใบรับรองที่จำเป็นด้วยตนเองหากพวกเขาไม่ต้องการอนุญาตให้มีการปรับปรุงใบรับรองหลักโดยอัตโนมัติ

— Ilmari Karonen

@IlmariKaronen เราทำไปแล้ว ด้วยเหตุผลบางอย่างมันไม่ทำงานแม้ว่าจะนำเข้ามาในที่จัดเก็บที่ถูกต้องก็ตาม อาจเกี่ยวข้องกับเซิร์ฟเวอร์จำนวนมากที่ไม่ได้เชื่อมต่ออินเทอร์เน็ตดังนั้นจึงไม่สามารถตรวจสอบความถูกต้องของใบรับรองได้

— Jeroen Ritmeijer

3

เหตุผลของฉันสำหรับการปิดใช้งาน certif.service มีดังนี้:

ฉันมีหลายระบบโดยไม่ต้องเชื่อมต่ออินเทอร์เน็ต นอกจากนี้ในกรณีส่วนใหญ่พวกเขาไม่มี display / kb / mouse เนื่องจากพวกเขาเป็น virtual machine บน DatastoreServer ขนาดใหญ่ ดังนั้นในทุกกรณีเมื่อพวกเขาต้องการการบำรุงรักษา / การปรับเปลี่ยนฉันใช้ Windows RDP ในการเข้าถึง หากคุณเชื่อมต่อกับเครื่องผ่าน RDP Windows จะตรวจสอบการอัพเดทใบรับรองก่อน หากเซิร์ฟเวอร์ / ไคลเอ็นต์ของคุณไม่มีอินเทอร์เน็ตก็จะหยุดทำงานเป็นเวลา 10-20 วินาทีก่อนที่จะทำการเชื่อมต่อ

ฉันทำการเชื่อมต่อ RDP เป็นจำนวนมากในแต่ละวัน ฉันประหยัดเวลาที่ไม่จ้องมองข้อความ: "การรักษาความปลอดภัยการเชื่อมต่อระยะไกล" :) +1 สำหรับการปิดการใช้งาน certif.service!

— Tommie84
แหล่งที่มา

แม้ว่าฉันจะเข้าใจว่านั่นเป็นเหตุผลที่น่ากลัว :-) มีวิธีที่ดีกว่าในการทำเช่นนี้ ฉันพบปัญหาที่คล้ายกัน (ด้วยการตรวจสอบใบรับรองของ SharePoint และช้าลง) เมื่อหลายปีก่อน คุณสามารถค้นหาวิธีแก้ไขปัญหาและวิธีแก้ไขปัญหาต่าง ๆ ได้ที่blog.muhimbi.com/2009/04/new-approach-to-solve-sharepoints.html

— Jeroen Ritmeijer

0

ฉันรู้ว่านี่เป็นหัวข้อเก่ากว่า; อย่างไรก็ตามฉันต้องการส่งทางเลือกอื่น ใช้ผู้ออกใบรับรอง (ROOT CA) นอกเหนือจากที่คุณใช้ กล่าวอีกนัยหนึ่งให้เปลี่ยนใบรับรองการลงนามของคุณเป็นใบรับรองที่มีรูต CA ที่เก่ากว่าและได้รับการรับรอง

DIGICert นำเสนอสิ่งนี้เมื่อขอใบรับรอง แม้ว่านี่อาจไม่ใช่รูต CA เริ่มต้นของคุณภายในบัญชี DIGICert แต่เป็นตัวเลือกที่ใช้ได้เมื่อส่ง CSR ไปให้พวกเขา BTW ฉันไม่ได้ทำงานกับ DIGICert และไม่ได้ประโยชน์อะไรจากการแนะนำพวกเขา .. ฉันรู้สึกถึงความเจ็บปวดนี้และใช้เวลาหลายชั่วโมงเกินไปในการประหยัด $ 1,000 US ในใบรับรองราคาถูกเมื่อฉันสามารถซื้อใบรับรองราคาแพงและใช้เวลามาก ใช้เวลาน้อยลงในการจัดการกับปัญหาการสนับสนุน นี่เป็นเพียงตัวอย่าง มีผู้ให้บริการใบรับรองรายอื่นที่เสนอสิ่งเดียวกัน

ความเข้ากันได้ 99% DigiCert Root Certificate นั้นเป็นใบรับรองที่เชื่อถือได้อย่างกว้างขวางที่สุดในโลก ดังนั้นเว็บเบราว์เซอร์ทั่วไปอุปกรณ์มือถือและโปรแกรมรับส่งเมลจึงได้รับการยอมรับโดยอัตโนมัติ

Caveat - หากคุณเลือก CA ที่รูทที่ถูกต้องเมื่อสร้าง CSR

— เอ็ดวิน
แหล่งที่มา