Pourquoi de nombreux administrateurs utilisent-ils la stratégie «Désactiver la mise à jour automatique des certificats racine»?
Mon entreprise distribue un Windows Installer pour un produit basé sur serveur. Selon les meilleures pratiques, il est signé à l'aide d'un certificat. Conformément à conseils de Microsoft , nous utilisons un certificat de signature de code GlobalSign , qui, selon Microsoft, est reconnu par défaut par toutes les versions de Windows Server.
Maintenant, tout cela fonctionne bien sauf si un serveur a été configuré avec Stratégie de groupe: Configuration ordinateur/Modèles d'administration/Système/Gestion des communications Internet/Paramètres de communication Internet/Désactiver la mise à jour automatique du certificat racine comme Activé .
Nous avons constaté que l'un de nos premiers bêta-testeurs fonctionnait avec cette configuration, entraînant l'erreur suivante lors de l'installation
Un fichier requis ne peut pas être installé car le fichier CAB [chemin long vers le fichier CAB] a une signature numérique non valide. Cela peut indiquer que le fichier CAB est corrompu.
Nous avons annulé cela comme une bizarrerie, après tout, personne n'a pu expliquer pourquoi le système était configuré comme ça. Cependant, maintenant que le logiciel est disponible pour une utilisation générale, il semble qu'un double chiffre (pourcentage) de nos clients est configuré avec ce paramètre et personne ne sait pourquoi. Beaucoup hésitent à changer le réglage.
Nous avons écrit un article KB pour nos clients, mais nous ne voulons vraiment pas que le problème se produise car nous nous soucions réellement de l'expérience client.
Certaines choses que nous avons remarquées en enquêtant sur ceci:
- Une nouvelle installation de Windows Server n'affiche pas le certificat Globalsign dans la liste des autorités racine de confiance.
- Avec Windows Server non connecté à Internet, l'installation de notre logiciel fonctionne correctement. À la fin de l'installation, le certificat Globalsign est présent (non importé par nous). En arrière-plan, Windows semble l'installer de manière transparente lors de la première utilisation.
Alors, voici à nouveau ma question. Pourquoi est-il si courant de désactiver la mise à jour des certificats racine? Quels sont les effets secondaires potentiels d'une réactivation des mises à jour? Je veux m'assurer que nous pouvons fournir à nos clients les conseils appropriés.
Fin 2012/début 2013, il y a eu un problème avec les mises à jour automatiques des certificats racine. Le correctif provisoire consistait à désactiver les mises à jour automatiques, donc ce problème est en partie historique.
L'autre cause est le programme Trusted Root Certificate et Root Certificate Distribution, qui (pour paraphraser Microsoft ) ...
Les certificats racine sont mis à jour automatiquement sous Windows. Lorsqu'un [système] rencontre un nouveau certificat racine, le logiciel de vérification de la chaîne de certificats Windows vérifie l'emplacement Microsoft Update approprié pour le certificat racine.
Jusqu'ici, tout va bien mais alors ...
S'il le trouve, il le télécharge sur le système. Pour l'utilisateur, l'expérience est transparente. L'utilisateur ne voit aucune boîte de dialogue ou avertissement de sécurité. Le téléchargement se fait automatiquement, dans les coulisses.
Lorsque cela se produit, il peut apparaître que des certificats sont ajoutés automatiquement au magasin racine. Tout cela rend certains administrateurs système nerveux car vous ne pouvez pas supprimer une "mauvaise" autorité de certification des outils de gestion de certificats, car ils ne sont pas là pour supprimer ...
En fait, il existe des moyens pour que Windows télécharge la liste complète afin qu'ils puissent la modifier à leur guise, mais il est courant de simplement bloquer les mises à jour. Un grand nombre d'administrateurs système ne comprennent pas le chiffrement ou la sécurité (en général), ils suivent donc la sagesse reçue (correcte ou non) sans poser de questions et ils n'aiment pas apporter des modifications à des choses impliquant la sécurité qu'ils ne comprennent pas pleinement en le croyant. de l'art noir.
Le composant de mise à jour automatique des certificats racine est conçu pour vérifier automatiquement la liste des autorités de confiance sur le site Web de Microsoft Windows Update. Plus précisément, une liste d'autorités de certification racine (CA) de confiance est stockée sur l'ordinateur local. Lorsqu'une application est présentée avec un certificat émis par une autorité de certification, elle vérifie la copie locale de la liste des autorités de certification racine de confiance. Si le certificat ne figure pas dans la liste, le composant Mise à jour automatique des certificats racine contactera le site Web Microsoft Windows Update pour voir si une mise à jour est disponible. Si l'autorité de certification a été ajoutée à la liste Microsoft des autorités de certification approuvées, son certificat sera automatiquement ajouté au magasin de certificats approuvés sur l'ordinateur.
Pourquoi est-il si courant de désactiver la mise à jour des certificats racine?
La réponse courte est probablement qu'il s'agit de contrôle. Si vous souhaitez contrôler les autorités de certification racines de confiance (plutôt que d'utiliser cette fonctionnalité et de laisser Microsoft le faire pour vous), il est plus simple et plus sûr de dresser une liste des autorités de certification racine auxquelles vous souhaitez faire confiance, distribuez-les sur vos ordinateurs de domaine. , puis verrouillez cette liste. Étant donné que les modifications apportées à la liste des autorités de certification racine auxquelles une organisation souhaite faire confiance seraient relativement rares, il est logique qu'un administrateur souhaite examiner et approuver les modifications plutôt que d'autoriser une mise à jour automatique.
Pour être franc, si personne ne sait pourquoi ce paramètre est activé dans un environnement donné, cela signifie qu'il ne doit pas être défini.
Quels sont les effets secondaires potentiels d'une réactivation des mises à jour?
Les ordinateurs du domaine seraient autorisés à vérifier la liste des autorités de certification approuvées sur le site Microsoft Windows Update et à ajouter potentiellement de nouveaux certificats dans leur magasin de certificats approuvés.
Si cela est inacceptable pour vos clients/clients, les certificats peuvent être distribués par GPO, et ils devraient inclure votre certificat dans la méthode de distribution qu'ils utilisent actuellement pour les certificats de confiance.
Ou vous pouvez toujours suggérer de désactiver temporairement cette politique particulière, pour permettre l'installation de votre produit.
Je ne suis pas d'accord pour dire qu'il est courant de désactiver cela. Une meilleure façon de le formuler serait de demander pourquoi quelqu'un le désactiverait. Et une meilleure solution à votre problème serait que le programme d'installation vérifie les certificats d'autorité de certification racine/intermédiaire et les installe s'ils ne sont pas présents.
Le programme Trusted Root CA est essentiel. Une tonne d'applications ne fonctionnerait tout simplement pas comme prévu si elles étaient largement désactivées. Bien sûr, certaines organisations peuvent désactiver cette fonctionnalité, mais cela dépend vraiment des organisations, en fonction de leurs besoins. C'est une hypothèse erronée que toute application qui nécessite une dépendance externe (certificat racine) fonctionnerait toujours sans la tester. Les développeurs d'applications et les organisations qui désactivent cette fonctionnalité sont responsables de la présence de la dépendance externe (certificat racine). Cela signifie que si une organisation désactive cela, elle sait s'attendre à ce problème (ou va bientôt en prendre connaissance).
Il convient également de noter qu'un objectif utile du mécanisme du programme Trusted Root CA (installation dynamique des certificats d'autorité de certification racine) est qu'il n'est pas pratique d'installer tous ou même la plupart des certificats d'autorité de certification racine bien connus/approuvés. Certains composants de Windows se cassent s'il y a trop de certificats installés, donc la seule pratique possible est d'installer uniquement les certificats nécessaires, quand ils sont nécessaires.
"Le problème est le suivant: le package de sécurité SChannel utilisé pour envoyer des certificats de confiance aux clients a une limite de 16 Ko. Par conséquent, le fait d'avoir trop de certificats dans le magasin peut empêcher les serveurs TLS d'envoyer les informations de certificat nécessaires. Ils commencent à envoyer mais doivent s'arrêter lorsque ils atteignent 16 Ko. Si les clients n'ont pas les bonnes informations de certificat, ils ne peuvent pas utiliser les services nécessitant TLS pour l'authentification. Parce que le package de mise à jour du certificat racine disponible dans KB 931125 ajoute manuellement un grand nombre de certificats au magasin, en les appliquant aux résultats des serveurs dans le magasin dépassant la limite de 16 Ko et le risque d'échec de l'authentification TLS. "
Ma raison de désactiver le certif.service est la suivante:
J'ai de nombreux systèmes sans connexion Internet. Dans la plupart des cas, ils manquent également d'affichage/Ko/souris car ce sont des machines virtuelles sur un grand DatastoreServer. Donc, dans tous les cas, lorsqu'ils ont besoin de maintenance/modification, j'utilise Windows RDP pour y accéder. Si vous vous connectez à une machine via RDP, Windows vérifie d'abord les mises à jour des certificats en ligne. Si votre serveur/client n'a pas Internet, il se bloque pendant 10 à 20 secondes avant de poursuivre la connexion.
Je fais beaucoup de connexions RDP chaque jour. Je gagne des heures à ne pas regarder le message: "sécuriser la connexion à distance" :) +1 pour désactiver certif.service!
Je sais que c'est un fil plus ancien; cependant, je voudrais proposer une solution alternative. Utilisez une autorité de certification (ROOT CA) autre que celle que vous utilisez. En d'autres termes, remplacez votre certificat de signature par un certificat possédant une autorité de certification racine approuvée beaucoup plus ancienne.
DIGICert offre cela lors de la demande d'un certificat. Bien que ce ne soit pas votre autorité de certification racine par défaut dans votre compte DIGICert, c'est une option disponible lorsque vous leur soumettez la CSR. BTW, je ne travaille pas pour DIGICert et je n'ai aucun avantage à les recommander .. Je ressens simplement cette douleur et j'ai passé beaucoup trop d'heures à économiser 1000 $ US sur un certificat bon marché alors que j'aurais pu acheter un certificat plus cher et dépenser beaucoup moins de temps pour traiter les problèmes de support. Ceci est simplement un exemple. Il existe d'autres fournisseurs de certificats offrant la même chose.
Compatibilité à 99% Les certificats racine DigiCert figurent parmi les certificats d'autorité les plus fiables au monde. En tant que tels, ils sont automatiquement reconnus par tous les navigateurs Web, appareils mobiles et clients de messagerie courants.
Avertissement - si vous sélectionnez l'autorité de certification racine correcte lors de la CSR.