Pourquoi de nombreux administrateurs utilisent-ils la stratégie "Désactiver la mise à jour automatique des certificats racines"?

40

Ma société distribue Windows Installer pour un produit basé sur serveur. Conformément aux meilleures pratiques, il est signé à l'aide d'un certificat. Conformément aux conseils de Microsoft, nous utilisons un certificat de signature de code GlobalSign , qui, selon Microsoft, est reconnu par défaut par toutes les versions de Windows Server.

Désormais, tout cela fonctionne correctement sauf si un serveur a été configuré avec la stratégie de groupe: Configuration de l'ordinateur / Modèles d'administration / Système / Gestion de la communication Internet / Paramètres de communication Internet / Désactiver la mise à jour automatique du certificat racine comme activée .

Nous avons constaté que l'un de nos premiers testeurs bêta fonctionnait avec cette configuration, ce qui a entraîné l'erreur suivante lors de l'installation.

Un fichier requis ne peut pas être installé car le fichier CAB [chemin d'accès long au fichier CAB] a une signature numérique non valide. Cela peut indiquer que le fichier CAB est corrompu.

Nous avons considéré cela comme une bizarrerie, après tout, personne n'a été en mesure d'expliquer pourquoi le système était configuré de la sorte. Cependant, maintenant que le logiciel est disponible pour une utilisation générale, il apparaît qu'un pourcentage à deux chiffres de nos clients est configuré avec ce paramètre et personne ne sait pourquoi. Beaucoup hésitent à changer les paramètres.

Nous avons écrit un article de base de connaissances pour nos clients, mais nous ne souhaitons vraiment pas que le problème se produise, car nous nous soucions réellement de l'expérience client.

Certaines choses que nous avons remarquées lors de nos recherches:

  1. Une nouvelle installation de Windows Server n’affiche pas le certificat Globalsign dans la liste des autorités racine approuvées.
  2. Avec Windows Server non connecté à Internet, l'installation de notre logiciel fonctionne correctement. À la fin de l’installation, le certificat Globalsign est présent (pas importé par nous). En arrière-plan, Windows apparaît pour l'installer de manière transparente lors de la première utilisation.

Donc, voici à nouveau ma question. Pourquoi est-il si courant de désactiver la mise à jour des certificats racine? Quels sont les effets secondaires potentiels de l'activation de nouvelles mises à jour? Je veux m'assurer que nous pouvons fournir à nos clients les conseils appropriés.

Jeroen Ritmeijer
la source
14
Les nouveaux certificats racine apparaissant sur tous les systèmes sans avertissement ni documentation sont une préoccupation pour certains responsables de la sécurité. Ils ne font tout simplement pas confiance à Microsoft pour contrôler entièrement les nouveaux certificats racine sans au moins procéder à une vérification préalable. Cela n'aide en rien que Microsoft fasse des choses comme pousser 18 nouveaux certificats racine sans préavis.
Brian
Ne pouvez-vous pas vérifier si le certificat est disponible dans le système et proposer de télécharger votre certificat manuellement depuis votre site Web si la mise à jour est désactivée?
Falco
@falco Nop, le certificat doit être en place avant que nous puissions exécuter une logique personnalisée pour détecter des éléments de ce type. C'est tout l'intérêt de la signature numérique des installateurs. En outre, si les administrateurs ont désactivé la mise à jour des certificats racine, ils ne seront pas heureux de laisser un fournisseur tiers le faire.
Jeroen Ritmeijer le
Vous pouvez ensuite créer un site Web permettant de vérifier le certificat, que les utilisateurs peuvent consulter avant d’installer votre produit. Par exemple, "visiter .... pour vérifier si votre système est compatible" et sur le site Web, les étapes pour installer le certificat si vous détectez qu'il n'est pas présent.
Falco le
1
@falco Ce que nous avons (dans une certaine mesure), voir le lien vers l'article de la base de connaissances dans ma question. Aussi ... les gens ne lisent pas les instructions.
Jeroen Ritmeijer le

Réponses:

33

Fin 2012 / début 2013, un problème est survenu avec les mises à jour automatiques du certificat racine. Le correctif provisoire consistait à désactiver les mises à jour automatiques. Ce problème est donc en partie historique.

L'autre cause est le programme de certificat racine de confiance et la distribution de certificat racine, qui (pour paraphraser Microsoft ) ...

Les certificats racines sont mis à jour automatiquement sur Windows. Lorsqu'un [système] rencontre un nouveau certificat racine, le logiciel de vérification de la chaîne de certificats Windows vérifie l'emplacement Microsoft Update approprié pour le certificat racine.

Jusqu'ici, tout va bien mais alors ...

S'il le trouve, il le télécharge sur le système. Pour l'utilisateur, l'expérience est transparente. L'utilisateur ne voit aucune boîte de dialogue de sécurité ni aucun avertissement. Le téléchargement se fait automatiquement, dans les coulisses.

Lorsque cela se produit, il peut sembler que des certificats sont ajoutés automatiquement au magasin racine. Cela rend certains administrateurs système nerveux, car vous ne pouvez pas supprimer une "mauvaise" autorité de certification des outils de gestion des certificats, car ils ne sont pas là pour les supprimer ...

En fait, il est possible de faire en sorte que Windows télécharge la liste complète afin de pouvoir la modifier à sa guise, mais il est courant de bloquer les mises à jour. Un grand nombre d'administrateurs système ne comprennent pas le cryptage ou la sécurité (généralement), ils suivent donc la sagesse reçue (correcte ou autre) sans poser de questions et ils n'aiment pas apporter de modifications à des éléments impliquant une sécurité qu'ils ne comprennent pas totalement en les croyant. un peu d'art noir.

James Snell
la source
13
A great number of sysadmins [...] don't like making changes to things involving security that they don't fully understand believing it to be some black art.Ouais. Triste mais vrai.
HopelessN00b
8
@ HopelessN00b Donc, vous préférez qu'ils fassent librement des modifications de configuration impliquant une sécurité qu'ils ne comprennent pas parfaitement? Cela me semble une proposition beaucoup plus effrayante.
Joshua Shearer
11
@ JoshuaShearer Je préférerais qu'ils comprennent ou cessent de s'appeler administrateurs système.
Kevin Krumwiede
2
@JoshuaShearer Comme Kevin l'a dit, s'ils ne comprennent pas la sécurité, ils ne devraient pas être administrateurs système, et je trouve très inquiétant d'avoir un administrateur de quoi que ce soit qui pense que la sécurité est une magie noire ou un voodo.
HopelessN00b
2
@JoshuaShearer - comme ils ne comprennent pas, c'est sans doute discutable, car ils ne sauront pas si ce qu'ils ont déjà est correct ou non ... Dans de nombreuses petites et moyennes entreprises, le "good with computers"mot «administrateur» est dû au fait qu'ils ont le dernier éclat brillant. plutôt qu'un véritable professionnel.
James Snell
11

Le composant Mise à jour automatique des certificats racine est conçu pour vérifier automatiquement la liste des autorités approuvées sur le site Web de Microsoft Windows Update. Plus précisément, il existe une liste des autorités de certification racine approuvées stockées sur l'ordinateur local. Lorsqu'une application se voit présenter un certificat émis par une autorité de certification, elle vérifie la copie locale de la liste de l'autorité de certification racine approuvée. Si le certificat ne figure pas dans la liste, le composant Mise à jour des certificats racines automatiques contactera le site Web Microsoft Windows Update pour savoir si une mise à jour est disponible. Si l'autorité de certification a été ajoutée à la liste des autorités de certification Microsoft, son certificat sera automatiquement ajouté au magasin de certificats de confiance sur l'ordinateur.

Pourquoi est-il si courant de désactiver la mise à jour des certificats racine?

La réponse courte est probablement qu'il s'agit de contrôle. Si vous souhaitez contrôler les autorités de certification racine de confiance (plutôt que d'utiliser cette fonctionnalité et de laisser Microsoft le faire à votre place), il est plus simple et plus sûr de créer une liste des autorités de certification racine que vous souhaitez approuver, distribuez-les sur vos ordinateurs de domaine. , puis verrouillez cette liste. Dans la mesure où les modifications apportées à la liste des autorités de certification racine auxquelles une organisation souhaite faire confiance sont relativement rares, il est donc logique qu'un administrateur veuille examiner et approuver toute modification plutôt que de permettre une mise à jour automatique.

Pour être tout à fait franc, si personne ne sait pourquoi ce paramètre est activé dans un environnement donné, cela signifie qu'il ne devrait pas être défini.

Quels sont les effets secondaires potentiels de l'activation de nouvelles mises à jour?

Les ordinateurs du domaine seraient autorisés à vérifier la liste des autorités de certification approuvées sur le site de mise à jour Microsoft Windows et éventuellement à ajouter de nouveaux certificats dans leur magasin de certificats approuvés.

Si cela est inacceptable pour vos clients / clients, les certificats peuvent être distribués par un objet de stratégie de groupe. Ils devront alors inclure votre certificat dans la méthode de distribution actuellement utilisée pour les certificats sécurisés.

Ou vous pouvez toujours suggérer de désactiver temporairement cette stratégie particulière pour permettre l'installation de votre produit.

HopelessN00b
la source
3

Je ne serais pas d'accord qu'il est commun de désactiver ceci. Une meilleure façon de l'exprimer serait de demander pourquoi quelqu'un le désactiverait. Et une meilleure solution à votre problème serait que l'installateur vérifie les certificats d'autorité de certification racine / intermédiaire et les installe s'ils ne sont pas présents.

Le programme d’autorité de certification racine de confiance est essentiel. Une tonne d'applications ne fonctionnerait tout simplement pas comme prévu si elle était désactivée à grande échelle. Certes, certaines organisations peuvent désactiver cette fonctionnalité, mais cela dépend vraiment de ces organisations, en fonction de leurs besoins. Il s'agit d'une hypothèse erronée selon laquelle toute application nécessitant une dépendance externe (certificat racine) fonctionnerait toujours sans la tester. Les développeurs d'applications et les organisations qui désactivent cette fonctionnalité ont la responsabilité de s'assurer que la dépendance externe (certificat racine) est présente. Cela signifie que si une organisation désactive cela, elle sait s’attendre à ce problème (ou l’apprendra bientôt).

Il convient également de noter que l'un des objectifs du mécanisme de programme de l'autorité de certification approuvée (installation dynamique de certificats d'autorité de certification racine) est qu'il n'est pas pratique d'installer la totalité ou même la plupart des certificats d'autorité de certification racine connus ou approuvés. Certains composants de Windows se cassent s'il y a trop de certificats installés. La seule pratique envisageable est donc d'installer uniquement les certificats nécessaires, le cas échéant.

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

"Le problème est le suivant: le package de sécurité SChannel utilisé pour envoyer des certificats sécurisés aux clients a une limite de 16 Ko. Par conséquent, un nombre excessif de certificats dans le magasin peut empêcher les serveurs TLS d'envoyer les informations de certificat nécessaires; ils commencent à envoyer mais doivent s'arrêter quand ils atteignent 16 Ko. Si les clients ne disposent pas des informations de certificat appropriées, ils ne peuvent pas utiliser les services nécessitant l'authentification TLS, car le package de mise à jour de certificat racine disponible dans le KB 931125 ajoute manuellement un grand nombre de certificats au magasin, en l'appliquant aux résultats des serveurs. dépassant la limite de 16 Ko et le risque d'échec de l'authentification TLS. "

Greg Askew
la source
2
Merci pour votre réponse, mais sur la base de notre expérience du monde réel, il est commun et je ne pense pas qu'un administrateur de serveur serait heureux pour nous d'installer un certificat racine s'il a pris la décision de ne pas même faire confiance à Microsoft avec cela. Aussi .... notre installateur ne peut pas fonctionner sans le cert, donc ... oeuf ...
Jeroen Ritmeijer
Bien compris, mais vous avez également appris que vous-même testiez la dépendance externe, documentiez-la pour l'installation et communiquiez l'exigence au client. C'est l'expérience du monde réel. Je doute que votre clientèle puisse être qualifiée de données empiriques pour étayer la conclusion selon laquelle il est "courant" que cette fonctionnalité soit désactivée.
Greg Askew
@Muhimbi: En guise de solution de contournement pratique, vous pouvez indiquer aux administrateurs d'installer manuellement le certificat requis s'ils ne souhaitent pas autoriser les mises à jour automatiques du certificat racine.
Ilmari Karonen
@IlmariKaronen, nous le faisons déjà. Pour une raison quelconque, cela ne fonctionne pas toujours, même lorsqu'ils l'importent dans le bon magasin. Peut-être est-il lié au fait que de nombreux serveurs ne sont pas connectés à Internet, ils ne peuvent donc pas vérifier la validité du certificat.
Jeroen Ritmeijer le
3

La raison pour laquelle j'ai désactivé le service certif.service est la suivante:

J'ai beaucoup de systèmes sans connexion internet. De plus, dans la plupart des cas, ils manquent d’affichage en kb / souris, car ils sont des machines virtuelles sur un gros serveur de données. Donc, dans tous les cas, lorsqu'ils ont besoin de maintenance / modification, j'utilise Windows RDP pour y accéder. Si vous vous connectez à une machine via RDP, Windows vérifie d'abord les mises à jour de certificats en ligne. Si votre serveur / client n'a pas Internet, il se bloque pendant 10 à 20 secondes avant de poursuivre la connexion.

Je fais beaucoup de connexions RDP chaque jour. J'économise des heures à ne pas regarder le message: "sécuriser la connexion à distance" :) +1 pour désactiver certif.service!

Tommie84
la source
Bien que je comprenne bien, c’est une raison TERRIBLE :-) Il existe de meilleures façons de le faire. Il y a des années, j'ai rencontré un problème similaire (avec la vérification des certificats par SharePoint et la lenteur du résultat). Vous pouvez trouver plusieurs solutions et solutions de contournement à l' adresse blog.muhimbi.com/2009/04/new-approach-to-solve-sharepoints.html
Jeroen Ritmeijer
0

Je sais que c'est un fil plus ancien; Cependant, je souhaiterais proposer une solution alternative. Utilisez une autorité de certification (ROOT CA) autre que celle que vous utilisez. En d'autres termes, remplacez votre certificat de signature par un certificat doté d'une autorité de certification racine approuvée bien plus ancienne.

DIGICert offre cela lors de la demande d'un certificat. Bien que cela ne soit peut-être pas votre autorité de certification racine par défaut dans votre compte DIGICert, il s'agit d'une option disponible lors de la soumission de la CSR à ces utilisateurs. BTW, je ne travaille pas pour DIGICert et je n’en ai aucun avantage à les recommander. Je ressens simplement cette douleur et ai passé beaucoup trop de temps à économiser 1000 $ US sur un CERT bon marché alors que j’aurais pu acheter un CERT plus cher et beaucoup dépenser. moins de temps à traiter les problèmes de support. Ceci est simplement un exemple. Il existe d'autres fournisseurs de certificats proposant la même chose.

Compatibilité à 99% Les certificats racines DigiCert comptent parmi les certificats d'autorité les plus largement reconnus au monde. En tant que tels, ils sont automatiquement reconnus par tous les navigateurs Web, appareils mobiles et clients de messagerie courants.

Mise en garde - si vous sélectionnez l'autorité de certification racine correcte lors de la création de la CSR.

Edwin
la source