L'autorité de certification racine hors ligne est-elle obsolète?
Il existe d'innombrables articles pratiques et meilleures pratiques recommandant l'utilisation d'une autorité de certification racine (CA) hors ligne. Bien que le titre l'indique, cette recommandation est-elle obsolète?
Le contexte de ma question concerne les petites et moyennes entreprises. PAS de grandes entreprises (ou autre) avec plusieurs niveaux d'autorités de certification subordonnées.
La révocation d'un certificat d'autorité de certification racine, comme indiqué dans les articles précédents, est un processus difficile. Il ne peut être atteint que par:
- mises à jour de logiciel
- scripts
- systèmes de gestion de la configuration
- ad hoc
La prémisse d'une autorité de certification racine hors ligne (métaphoriquement) est de l'avoir sur un ordinateur portable où elle n'est mise en ligne que pour approuver une autorité de certification subordonnée. Sinon, il réside dans la sécurité physique la plus élevée possible. Si une autorité de certification subordonnée est compromise, tout n'est pas perdu car l'autorité de certification racine hors ligne est correcte. Cependant, la grande majorité n'inclut pas de point de distribution CRL (CDP), ce qui rend impossible de déterminer quels certificats ont été révoqués. Ainsi, la révocation d'une autorité de certification subordonnée immédiate est similaire à celle d'une révocation de l'autorité de certification racine. Rien n'a été gagné en ayant une autorité de certification racine hors ligne en premier lieu.
L'alternative est de publier un CDP qui semble avoir le plus de sens mais qui ne permet plus à l'autorité de certification racine d'être hors ligne. Si le CDP est mis à jour une fois par mois, le pire des cas est que les clients n'identifient pas un certificat révoqué pendant un mois entier. Pendant ce temps, l’administration nécessite que le personnel démarre le système et mette à jour le CDP tous les mois. L'allongement de cette fenêtre (+1 mois) ne crée qu'une fenêtre plus grande où les clients feraient confiance à un certificat révoqué tandis que le raccourcissement de cette fenêtre indique clairement que le système doit rester en ligne en raison de la surcharge administrative.
Sur cette base, il semble que les autorités de certification racine hors ligne ne devraient être utilisées que dans les très grandes entreprises avec plusieurs niveaux d'autorités de certification subordonnées. Bien que ceux-ci soient minimes, car ils disposent souvent déjà d'une infrastructure de certificat et doivent être considérés comme l'exception lorsque des autorités de certification racine hors ligne sont utilisées. La grande majorité des nouveaux déploiements se trouvent dans des réseaux de petite à moyenne taille où l'autorité de certification racine doit rester en ligne afin de pouvoir publier fréquemment sur le CDP. Me ramenant ainsi à ma question, l'autorité de certification racine hors ligne est-elle obsolète?
Je pense que nous devons considérer ici les définitions du mot "hors ligne".
Comme vous le suggérez, les conditions suivantes sont contradictoires:
- Faites en sorte que l'autorité de certification racine soit désactivée, sauf lors de l'émission/de la révocation d'un certificat d'autorité de certification subordonnée.
- Demandez à l'autorité de certification racine d'émettre des listes de révocation de certificats fréquentes.
La solution que je vois déployée le plus souvent est de faire un "soft air-gapping" ou un "soft offline" via des pare-feu afin que l'autorité de certification racine puisse toujours pousser de nouvelles CRL quotidiennement ou toutes les heures pour être récupérées et republiées par les répondeurs CDP ou OSCP. . Bloquez tout autre trafic vers/depuis la machine racine de l'autorité de certification.
J'ai même entendu parler d'une solution intelligente où l'autorité de certification racine pousse les données CRL sur sa prise de sortie audio, qui est un port unidirectionnel au niveau matériel.
Une autre chose, il n'y a aucune raison qu'une autorité de certification racine hors ligne ne puisse pas publier sa liste de révocation de certificats (CRL) vers un autre emplacement en ligne. La durée de vie d'une liste de révocation de certificats peut être étendue à une très longue période à l'aide de cette commande:
certutil -setreg CA\CRLPeriodUnits 6
certutil -setreg CA\CRLPeriod "Years"
Vous pouvez également publier des listes CRL Delta qui contiennent uniquement des révocations qui ont changé depuis la publication de la dernière liste CRL complète.
Maintenant, puisque la seule fois où vous allez révoquer des certificats de l'autorité de certification racine hors ligne est si quelque chose de majeur se produit, quel est le risque d'avoir une énorme durée de vie CRL, il est probable que vous ne révoquerez jamais aucun certificat de votre hôte hors ligne de toute façon, mais si vous le faites et vous voulez que les contrôles CRL ramassent cela, vous pouvez toujours avoir cette partie en place, donc si vous en avez besoin, cela fonctionnera.
Les AC hors ligne sont souvent un sujet débattu, mais si vous en avez un et que vous subissez un compromis majeur, vous serez content de l'avoir, si vous ne l'avez pas mais en avez besoin, vous le regretterez. C'est une question de risque contre récompense.
L'autorité de certification racine n'est jamais mise en ligne dans le sens où elle touche un réseau. Utilisez un lecteur de disquette, un lecteur USB, une prise de sortie audio, etc. Microsoft a une documentation PARTOUT et est facile à trouver, qui décrit la structure de production minimale comme au moins à deux niveaux: une racine hors ligne et un émetteur subordonné d'entreprise en ligne. L'émetteur en ligne est l'endroit d'où proviennent tous les certificats et CRL, à l'exception du CRL pour l'émetteur en ligne, qui est généré sur la racine hors ligne et transféré via les moyens répertoriés ci-dessus. Vous générez cette CRL une fois par an (ou ce que vous choisissez qui fonctionne le mieux pour les exigences de sécurité) et transférez cette CRL au CDP public (point de distribution de certificats) et c'est tout. Sinon, la racine hors ligne peut être poudrée tout le temps.