Pourquoi de nombreux administrateurs utilisent-ils la stratégie "Désactiver la mise à jour automatique des certificats racines"?

Ma société distribue Windows Installer pour un produit basé sur serveur. Conformément aux meilleures pratiques, il est signé à l'aide d'un certificat. Conformément aux conseils de Microsoft, nous utilisons un certificat de signature de code GlobalSign , qui, selon Microsoft, est reconnu par défaut par toutes les versions de Windows Server.

Désormais, tout cela fonctionne correctement sauf si un serveur a été configuré avec la stratégie de groupe: Configuration de l'ordinateur / Modèles d'administration / Système / Gestion de la communication Internet / Paramètres de communication Internet / Désactiver la mise à jour automatique du certificat racine comme activée .

Nous avons constaté que l'un de nos premiers testeurs bêta fonctionnait avec cette configuration, ce qui a entraîné l'erreur suivante lors de l'installation.

Un fichier requis ne peut pas être installé car le fichier CAB [chemin d'accès long au fichier CAB] a une signature numérique non valide. Cela peut indiquer que le fichier CAB est corrompu.

Nous avons considéré cela comme une bizarrerie, après tout, personne n'a été en mesure d'expliquer pourquoi le système était configuré de la sorte. Cependant, maintenant que le logiciel est disponible pour une utilisation générale, il apparaît qu'un pourcentage à deux chiffres de nos clients est configuré avec ce paramètre et personne ne sait pourquoi. Beaucoup hésitent à changer les paramètres.

Nous avons écrit un article de base de connaissances pour nos clients, mais nous ne souhaitons vraiment pas que le problème se produise, car nous nous soucions réellement de l'expérience client.

Certaines choses que nous avons remarquées lors de nos recherches:

1. Une nouvelle installation de Windows Server n’affiche pas le certificat Globalsign dans la liste des autorités racine approuvées.
2. Avec Windows Server non connecté à Internet, l'installation de notre logiciel fonctionne correctement. À la fin de l’installation, le certificat Globalsign est présent (pas importé par nous). En arrière-plan, Windows apparaît pour l'installer de manière transparente lors de la première utilisation.

Donc, voici à nouveau ma question. Pourquoi est-il si courant de désactiver la mise à jour des certificats racine? Quels sont les effets secondaires potentiels de l'activation de nouvelles mises à jour? Je veux m'assurer que nous pouvons fournir à nos clients les conseils appropriés.

Fin 2012 / début 2013, un problème est survenu avec les mises à jour automatiques du certificat racine. Le correctif provisoire consistait à désactiver les mises à jour automatiques. Ce problème est donc en partie historique.

L'autre cause est le programme de certificat racine de confiance et la distribution de certificat racine, qui (pour paraphraser Microsoft ) ...

Les certificats racines sont mis à jour automatiquement sur Windows. Lorsqu'un [système] rencontre un nouveau certificat racine, le logiciel de vérification de la chaîne de certificats Windows vérifie l'emplacement Microsoft Update approprié pour le certificat racine.

Jusqu'ici, tout va bien mais alors ...

S'il le trouve, il le télécharge sur le système. Pour l'utilisateur, l'expérience est transparente. L'utilisateur ne voit aucune boîte de dialogue de sécurité ni aucun avertissement. Le téléchargement se fait automatiquement, dans les coulisses.

Lorsque cela se produit, il peut sembler que des certificats sont ajoutés automatiquement au magasin racine. Cela rend certains administrateurs système nerveux, car vous ne pouvez pas supprimer une "mauvaise" autorité de certification des outils de gestion des certificats, car ils ne sont pas là pour les supprimer ...

En fait, il est possible de faire en sorte que Windows télécharge la liste complète afin de pouvoir la modifier à sa guise, mais il est courant de bloquer les mises à jour. Un grand nombre d'administrateurs système ne comprennent pas le cryptage ou la sécurité (généralement), ils suivent donc la sagesse reçue (correcte ou autre) sans poser de questions et ils n'aiment pas apporter de modifications à des éléments impliquant une sécurité qu'ils ne comprennent pas totalement en les croyant. un peu d'art noir.

Le composant Mise à jour automatique des certificats racine est conçu pour vérifier automatiquement la liste des autorités approuvées sur le site Web de Microsoft Windows Update. Plus précisément, il existe une liste des autorités de certification racine approuvées stockées sur l'ordinateur local. Lorsqu'une application se voit présenter un certificat émis par une autorité de certification, elle vérifie la copie locale de la liste de l'autorité de certification racine approuvée. Si le certificat ne figure pas dans la liste, le composant Mise à jour des certificats racines automatiques contactera le site Web Microsoft Windows Update pour savoir si une mise à jour est disponible. Si l'autorité de certification a été ajoutée à la liste des autorités de certification Microsoft, son certificat sera automatiquement ajouté au magasin de certificats de confiance sur l'ordinateur.

Pourquoi est-il si courant de désactiver la mise à jour des certificats racine?

La réponse courte est probablement qu'il s'agit de contrôle. Si vous souhaitez contrôler les autorités de certification racine de confiance (plutôt que d'utiliser cette fonctionnalité et de laisser Microsoft le faire à votre place), il est plus simple et plus sûr de créer une liste des autorités de certification racine que vous souhaitez approuver, distribuez-les sur vos ordinateurs de domaine. , puis verrouillez cette liste. Dans la mesure où les modifications apportées à la liste des autorités de certification racine auxquelles une organisation souhaite faire confiance sont relativement rares, il est donc logique qu'un administrateur veuille examiner et approuver toute modification plutôt que de permettre une mise à jour automatique.

Pour être tout à fait franc, si personne ne sait pourquoi ce paramètre est activé dans un environnement donné, cela signifie qu'il ne devrait pas être défini.

Quels sont les effets secondaires potentiels de l'activation de nouvelles mises à jour?

Les ordinateurs du domaine seraient autorisés à vérifier la liste des autorités de certification approuvées sur le site de mise à jour Microsoft Windows et éventuellement à ajouter de nouveaux certificats dans leur magasin de certificats approuvés.

Si cela est inacceptable pour vos clients / clients, les certificats peuvent être distribués par un objet de stratégie de groupe. Ils devront alors inclure votre certificat dans la méthode de distribution actuellement utilisée pour les certificats sécurisés.

Ou vous pouvez toujours suggérer de désactiver temporairement cette stratégie particulière pour permettre l'installation de votre produit.

Je ne serais pas d'accord qu'il est commun de désactiver ceci. Une meilleure façon de l'exprimer serait de demander pourquoi quelqu'un le désactiverait. Et une meilleure solution à votre problème serait que l'installateur vérifie les certificats d'autorité de certification racine / intermédiaire et les installe s'ils ne sont pas présents.

Le programme d’autorité de certification racine de confiance est essentiel. Une tonne d'applications ne fonctionnerait tout simplement pas comme prévu si elle était désactivée à grande échelle. Certes, certaines organisations peuvent désactiver cette fonctionnalité, mais cela dépend vraiment de ces organisations, en fonction de leurs besoins. Il s'agit d'une hypothèse erronée selon laquelle toute application nécessitant une dépendance externe (certificat racine) fonctionnerait toujours sans la tester. Les développeurs d'applications et les organisations qui désactivent cette fonctionnalité ont la responsabilité de s'assurer que la dépendance externe (certificat racine) est présente. Cela signifie que si une organisation désactive cela, elle sait s’attendre à ce problème (ou l’apprendra bientôt).

Il convient également de noter que l'un des objectifs du mécanisme de programme de l'autorité de certification approuvée (installation dynamique de certificats d'autorité de certification racine) est qu'il n'est pas pratique d'installer la totalité ou même la plupart des certificats d'autorité de certification racine connus ou approuvés. Certains composants de Windows se cassent s'il y a trop de certificats installés. La seule pratique envisageable est donc d'installer uniquement les certificats nécessaires, le cas échéant.

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

"Le problème est le suivant: le package de sécurité SChannel utilisé pour envoyer des certificats sécurisés aux clients a une limite de 16 Ko. Par conséquent, un nombre excessif de certificats dans le magasin peut empêcher les serveurs TLS d'envoyer les informations de certificat nécessaires; ils commencent à envoyer mais doivent s'arrêter quand ils atteignent 16 Ko. Si les clients ne disposent pas des informations de certificat appropriées, ils ne peuvent pas utiliser les services nécessitant l'authentification TLS, car le package de mise à jour de certificat racine disponible dans le KB 931125 ajoute manuellement un grand nombre de certificats au magasin, en l'appliquant aux résultats des serveurs. dépassant la limite de 16 Ko et le risque d'échec de l'authentification TLS. "

La raison pour laquelle j'ai désactivé le service certif.service est la suivante:

J'ai beaucoup de systèmes sans connexion internet. De plus, dans la plupart des cas, ils manquent d’affichage en kb / souris, car ils sont des machines virtuelles sur un gros serveur de données. Donc, dans tous les cas, lorsqu'ils ont besoin de maintenance / modification, j'utilise Windows RDP pour y accéder. Si vous vous connectez à une machine via RDP, Windows vérifie d'abord les mises à jour de certificats en ligne. Si votre serveur / client n'a pas Internet, il se bloque pendant 10 à 20 secondes avant de poursuivre la connexion.

Je fais beaucoup de connexions RDP chaque jour. J'économise des heures à ne pas regarder le message: "sécuriser la connexion à distance" :) +1 pour désactiver certif.service!

Je sais que c'est un fil plus ancien; Cependant, je souhaiterais proposer une solution alternative. Utilisez une autorité de certification (ROOT CA) autre que celle que vous utilisez. En d'autres termes, remplacez votre certificat de signature par un certificat doté d'une autorité de certification racine approuvée bien plus ancienne.

DIGICert offre cela lors de la demande d'un certificat. Bien que cela ne soit peut-être pas votre autorité de certification racine par défaut dans votre compte DIGICert, il s'agit d'une option disponible lors de la soumission de la CSR à ces utilisateurs. BTW, je ne travaille pas pour DIGICert et je n’en ai aucun avantage à les recommander. Je ressens simplement cette douleur et ai passé beaucoup trop de temps à économiser 1000 $ US sur un CERT bon marché alors que j’aurais pu acheter un CERT plus cher et beaucoup dépenser. moins de temps à traiter les problèmes de support. Ceci est simplement un exemple. Il existe d'autres fournisseurs de certificats proposant la même chose.

Compatibilité à 99% Les certificats racines DigiCert comptent parmi les certificats d'autorité les plus largement reconnus au monde. En tant que tels, ils sont automatiquement reconnus par tous les navigateurs Web, appareils mobiles et clients de messagerie courants.

Mise en garde - si vous sélectionnez l'autorité de certification racine correcte lors de la création de la CSR.