Frage Warum verwenden viele Administratoren die Richtlinie "Automatische Root-Zertifikat-Updates deaktivieren"?


Meine Firma vertreibt einen Windows Installer für ein serverbasiertes Produkt. Gemäß den Best Practices wird es mit einem Zertifikat signiert. In Übereinstimmung mit Microsofts Ratschlag wir benutzen ein GlobalSign-Codesignaturzertifikat, die Microsoft behauptet, wird von allen Windows Server-Versionen standardmäßig erkannt.

Jetzt funktioniert alles gut, es sei denn, ein Server wurde mit konfiguriert Gruppenrichtlinien: Computerkonfiguration / Administrative Vorlagen / System / Internetkommunikationsverwaltung / Internetkommunikationseinstellungen / Automatische Stammzertifikataktualisierung deaktivieren wie aktiviert.

Wir haben festgestellt, dass einer unserer frühen Beta-Tester mit dieser Konfiguration ausgeführt wurde, was zu folgendem Fehler während der Installation führte

Eine erforderliche Datei kann nicht installiert werden, da die CAB-Datei [Langer Pfad zur CAB-Datei] eine ungültige digitale Signatur aufweist. Dies kann darauf hinweisen, dass die CAB-Datei beschädigt ist.

Wir haben das als eine Kuriosität geschrieben, schließlich konnte niemand erklären, warum das System so konfiguriert war. Jetzt, da die Software für den allgemeinen Gebrauch verfügbar ist, scheint es, dass eine zweistellige Anzahl (Prozent) unserer Kunden mit dieser Einstellung konfiguriert ist und niemand weiß warum. Viele zögern, die Einstellung zu ändern.

Wir haben ein geschrieben KB-Artikel für unsere Kunden, aber wir wollen wirklich nicht, dass das Problem überhaupt passiert, weil wir uns wirklich um die Kundenerfahrung kümmern.

Einige Dinge, die uns bei der Untersuchung aufgefallen sind:

  1. Bei einer Neuinstallation von Windows Server wird das Globalsign-Zertifikat nicht in der Liste der vertrauenswürdigen Stammzertifizierungsstellen angezeigt.
  2. Wenn Windows Server nicht mit dem Internet verbunden ist, funktioniert die Installation unserer Software einwandfrei. Am Ende der Installation ist das Globalsign-Zertifikat vorhanden (nicht von uns importiert). Im Hintergrund scheint Windows es bei der ersten Verwendung transparent zu installieren.

Also, hier ist meine Frage noch einmal. Warum ist es so üblich, die Aktualisierung von Stammzertifikaten zu deaktivieren? Was sind die möglichen Nebenwirkungen, wenn Updates erneut aktiviert werden? Ich möchte sicherstellen, dass wir unseren Kunden die entsprechende Anleitung geben können.


38
2018-01-27 16:00


Ursprung


Neue Stammzertifikate, die auf allen Systemen ohne Warnung oder Dokumentation erscheinen, sind für einige Sicherheitsleute ein Problem. Sie trauen Microsoft einfach nicht zu, neue Root-Zertifikate vollständig zu überprüfen, ohne sich zumindest selbst zu überprüfen. Es hilft nicht, wenn Microsoft beispielsweise 18 neue Root-Zertifikate ohne Ankündigung veröffentlicht. - Brian
Können Sie nicht überprüfen, ob das Zertifikat im System verfügbar ist und anbieten, Ihr Zertifikat von Hand von Ihrer Website herunterzuladen, wenn die Aktualisierung deaktiviert ist? - Falco
@falco Nop, das Zertifikat muss vorhanden sein, bevor wir benutzerdefinierte Logik ausführen können, um solche Dinge zu erkennen. Das ist der springende Punkt, wenn es darum geht, Installateure digital zu signieren. Auch wenn Admins die Aktualisierung von Root-Zertifikaten deaktiviert haben, werden sie nicht froh sein, dies einem Drittanbieter überlassen zu können. - Jeroen Ritmeijer
Dann könnten Sie eine Website bereitstellen, die nach dem Zertifikat sucht, das die Benutzer vor der Installation Ihres Produkts besuchen können? Wie "besuchen Sie .... um zu überprüfen, ob Ihr System kompatibel ist" und auf der Website die Schritte zum Installieren des Zertifikats, wenn Sie feststellen, dass es nicht vorhanden ist? - Falco
@falco Was wir haben (bis zu einem gewissen Grad), sehen Sie den Link zum KB Artikel in meiner Frage. Auch ... Leute lesen keine Anweisungen. - Jeroen Ritmeijer


Antworten:


Ende 2012 / Anfang 2013 gab es ein Problem mit automatischen Root-Zertifikat-Updates. Der vorläufige Fix bestand darin, die automatischen Updates zu deaktivieren. Daher ist dieses Problem zum Teil historisch.

Die andere Ursache ist das Programm für vertrauenswürdige Stammzertifikate und die Stammzertifikatverteilung, die (umzuschreiben) Microsoft) ...

Stammzertifikate werden unter Windows automatisch aktualisiert. Wenn ein [System] auf ein neues Stammzertifikat stößt, überprüft die Verifizierungssoftware für die Windows-Zertifikatkette den entsprechenden Microsoft Update-Speicherort für das Stammzertifikat.

So weit, so gut aber dann ...

Wenn es gefunden wird, lädt es es auf das System herunter. Für den Benutzer, der   Erfahrung ist nahtlos. Der Benutzer sieht keinen Sicherheitsdialog   Boxen oder Warnungen. Der Download erfolgt automatisch, hinter dem   Szenen.

Wenn dies geschieht, kann es vorkommen, dass Zertifikate automatisch zum Root-Speicher hinzugefügt werden. All das macht einige Systemadministratoren nervös, da Sie eine "schlechte" CA nicht aus den Zertifikatsverwaltungstools entfernen können, da sie nicht zum Entfernen da sind ...

Tatsächlich gibt es Möglichkeiten, Windows dazu zu bringen, die vollständige Liste herunterzuladen, damit sie sie nach Belieben bearbeiten können, aber es ist üblich, die Updates einfach zu blockieren. Eine große Anzahl von Systemadministratoren versteht Verschlüsselung oder Sicherheit (allgemein) nicht, so dass sie die empfangene Weisheit (korrekt oder nicht) ohne Frage befolgen und keine Änderungen an Sicherheitsaspekten vornehmen, von denen sie nicht ganz verstehen, dass sie es sind etwas schwarze Kunst.


32
2018-01-27 16:37



A great number of sysadmins [...] don't like making changes to things involving security that they don't fully understand believing it to be some black art. Ja. Traurig aber wahr. - HopelessN00b
@ HopelessN00b Also würden Sie lieber sie frei Konfigurationsänderungen vornehmen, die die Sicherheit betreffen, die sie nicht vollständig verstehen? Das scheint mir eine viel gruseligere Angelegenheit zu sein. - Joshua Shearer
@JoshuaShearer Ich würde es lieber verstehen, oder hören auf, sich selbst als Systemadministratoren zu bezeichnen. - Kevin Krumwiede
@JoshuaShearer Wie Kevin sagte, wenn sie Sicherheit nicht verstehen, sollten sie keine Systemadministratoren sein, und ich finde es ein beängstigender Vorschlag, einen Administrator von allem zu haben, der glaubt, dass Sicherheit eine Art schwarzer Magie oder Voodo ist. - HopelessN00b
@JoshuaShearer - da sie es nicht verstehen, ist es wohl strittig, denn sie werden nicht wissen, ob das, was sie bereits haben, richtig ist oder nicht ... In vielen kleinen und mittleren Unternehmen ist der "Admin" "good with computers" weil sie die neuesten glänzenden iThings haben, anstatt ein echter Profi. - James Snell


Das Automatische Update-Komponente für Root-Zertifikate überprüft automatisch die Liste der vertrauenswürdigen Autoritäten auf der Microsoft Windows Update-Website. Insbesondere gibt es eine Liste vertrauenswürdiger Stammzertifizierungsstellen (CAs), die auf dem lokalen Computer gespeichert sind. Wenn einer Anwendung ein von einer Zertifizierungsstelle ausgestelltes Zertifikat vorgelegt wird, wird die lokale Kopie der vertrauenswürdigen Stammzertifizierungsstellenliste überprüft. Wenn das Zertifikat nicht in der Liste enthalten ist, wird die Komponente Automatische Stammzertifikataktualisierung die Microsoft Windows Update-Website kontaktieren, um festzustellen, ob ein Update verfügbar ist. Wenn die Zertifizierungsstelle der Microsoft-Liste vertrauenswürdiger Zertifizierungsstellen hinzugefügt wurde, wird ihr Zertifikat automatisch dem vertrauenswürdigen Zertifikatspeicher auf dem Computer hinzugefügt.

Warum ist es so üblich, die Aktualisierung von Stammzertifikaten zu deaktivieren?

Die kurze Antwort ist wahrscheinlich, dass es um Kontrolle geht. Wenn Sie steuern möchten, welche Stammzertifizierungsstellen vertrauenswürdig sind (anstatt diese Funktion zu verwenden und Microsoft dies für Sie tun zu lassen), ist es am einfachsten und sichersten, eine Liste der Stammzertifizierungsstellen zu erstellen, denen Sie vertrauen möchten, und diese an Ihre Domänencomputer zu verteilen und sperren Sie dann diese Liste. Da Änderungen an der Liste der Stammzertifizierungsstellen, denen eine Organisation vertrauen möchte, relativ selten sind, ist es sinnvoll, dass ein Administrator Änderungen überprüfen und genehmigen möchte, anstatt eine automatische Aktualisierung zuzulassen.

Um ehrlich zu sein, wenn niemand weiß, warum diese Einstellung in einer bestimmten Umgebung aktiviert ist, bedeutet dies, dass sie nicht gesetzt werden sollte.

Was sind die möglichen Nebenwirkungen, wenn Updates erneut aktiviert werden?

Domänencomputer können die Liste vertrauenswürdiger Zertifizierungsstellen auf der Microsoft Windows Update-Site überprüfen und möglicherweise neue Zertifikate in ihren vertrauenswürdigen Zertifikatspeicher aufnehmen.

Wenn dies für Ihre Kunden / Kunden nicht akzeptabel ist, können Zertifikate von Gruppenrichtlinienobjekten verteilt werden, und sie müssen Ihr Zertifikat in jede Verteilungsmethode aufnehmen, die sie derzeit für vertrauenswürdige Zertifikate verwenden.

Oder Sie können immer vorschlagen, diese bestimmte Richtlinie vorübergehend zu deaktivieren, um die Installation Ihres Produkts zu ermöglichen.


11
2018-01-27 16:30





Ich würde nicht zustimmen, dass es üblich ist, dies zu deaktivieren. Ein besserer Weg wäre es zu fragen, warum jemand es deaktivieren würde. Eine bessere Lösung für Ihr Problem wäre, dass das Installationsprogramm nach den CA-Stammzertifikaten sucht und diese installiert, falls sie nicht vorhanden sind.

Das Trusted Root CA-Programm ist essentiell. Eine TON von Anwendungen würde einfach nicht wie erwartet funktionieren, wenn sie weit ausgeschalten wäre. Sicher, es gibt einige Organisationen, die diese Funktion deaktivieren, aber das hängt wirklich von den Organisationen ab, basierend auf ihren Anforderungen. Es ist eine fehlerhafte Annahme, dass jede Anwendung, die eine externe Abhängigkeit (Stammzertifikat) erfordert, immer funktionieren würde, ohne sie zu testen. Sowohl Entwickler von Anwendungen als auch Organisationen, die diese Funktion deaktivieren, sind dafür verantwortlich, dass die externe Abhängigkeit (Stammzertifikat) vorhanden ist. Das heißt, wenn eine Organisation dies deaktiviert, wissen sie, dass sie dieses Problem erwarten (oder es bald erfahren werden).

Es ist auch erwähnenswert, dass ein nützlicher Zweck des Vertrauenswürdigen-Root-CA-Programmmechanismus (dynamische Installation von Zertifikaten der Stammzertifizierungsstelle) darin besteht, dass es nicht praktisch ist, alle oder die meisten bekannten / vertrauenswürdigen CA-Wurzelzertifikate zu installieren. Einige Komponenten in Windows können beschädigt werden, wenn zu viele Zertifikate installiert sind. Daher ist es nur möglich, nur die benötigten Zertifikate zu installieren, wenn sie benötigt werden.

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx 

"Das Problem ist folgendes: Das SChannel-Sicherheitspaket, das zum Senden vertrauenswürdiger Zertifikate an Clients verwendet wird, ist auf 16 KB begrenzt. Daher können zu viele Zertifikate im Speicher verhindern, dass TLS-Server erforderliche Zertifikatsinformationen senden. Sie beginnen zu senden, müssen aber aufhören Sie erreichen 16 KB. Wenn Clients nicht über die richtigen Zertifikatsinformationen verfügen, können sie keine Dienste verwenden, die TLS für die Authentifizierung benötigen Da das in KB 931125 verfügbare Stammzertifikat-Updatepaket dem Geschäft manuell eine große Anzahl an Zertifikaten hinzufügt, wird es auf Server angewendet im Laden, der die Grenze von 16 KB überschreitet, und das Potenzial für eine fehlgeschlagene TLS-Authentifizierung. "


3
2018-01-27 17:17



Vielen Dank für Ihre Antwort, aber basierend auf unserer realen Erfahrung ist es üblich und ich denke nicht, dass irgendein Serveradministrator glücklich sein würde, ein Root-Zertifikat zu installieren, wenn sie die Entscheidung getroffen haben, Microsoft damit nicht einmal zu vertrauen. Auch .... unser Installateur kann nicht ohne das Zertifikat laufen, also Hühnchen ... Ei ... - Jeroen Ritmeijer
Verstanden, aber Sie haben auch gelernt, dass Sie die externe Abhängigkeit testen, dies für die Installation dokumentieren und die Anforderung an den Kunden kommunizieren. Das ist echte Welterfahrung. Ich bezweifle, dass Ihre Kundenbasis als empirische Daten gelten würde, um die Schlussfolgerung zu unterstützen, dass es "üblich" ist, dass diese Funktion deaktiviert ist. - Greg Askew
@Muhimbi: Als praktische Problemumgehung können Sie Anweisungen für Administratoren bereitstellen, das erforderliche Zertifikat manuell zu installieren, wenn sie keine automatischen Updates des Stammzertifikats zulassen möchten. - Ilmari Karonen
@IlmariKaronen, machen wir schon. Aus irgendeinem Grund funktioniert es nicht immer, selbst wenn sie es in den richtigen Laden importieren. Vielleicht hängt es damit zusammen, dass viele Server nicht mit dem Internet verbunden sind, so dass sie die Gültigkeit des Zertifikats nicht überprüfen können. - Jeroen Ritmeijer


Mein Grund für die Deaktivierung des Zertifikats ist wie folgt:

Ich habe viele Systeme ohne Internetverbindung. In den meisten Fällen fehlt ihnen display / kb / mouse, da sie virtuelle Maschinen auf einem großen DatastoreServer sind. In allen Fällen, in denen Wartung / Änderung erforderlich ist, verwende ich Windows RDP, um zu ihnen zu gelangen. Wenn Sie über RDP eine Verbindung zu einer Maschine herstellen, überprüft Windows zuerst die Zertifikataktualisierungen online. Wenn Ihr Server / Client kein Internet hat, bleibt es 10-20 Sekunden hängen, bevor die Verbindung fortgeführt wird.

Ich mache jeden Tag viele RDP-Verbindungen. Ich spare Stunden, um nicht auf die Nachricht zu starren: "Sicherung der Remote-Verbindung" :) +1 für die Deaktivierung des Zertifikats.


3
2017-08-10 07:53



Obwohl ich verstehe, das ist ein schrecklicher Grund :-) Es gibt bessere Möglichkeiten, dies zu tun. Ich stieß auf ein ähnliches Problem (mit SharePoint, das Zertifikate überprüft und als Ergebnis langsam ist) vor Jahren. Sie finden mehrere Lösungen und Problemumgehungen unter blog.muhimbi.com/2009/04/new-approach-to-solve-sharepoints.html - Jeroen Ritmeijer


Ich weiß, das ist ein älterer Thread. Ich möchte jedoch eine alternative Lösung vorschlagen. Verwenden Sie eine andere Zertifizierungsstelle (ROOT CA) als die von Ihnen verwendete. Mit anderen Worten: Wechseln Sie Ihr Signaturzertifikat in ein Zertifikat mit einer viel älteren, zugelassenen Stammzertifizierungsstelle.

DIGICert bietet dies an, wenn Sie ein Zertifikat anfordern. Dies ist zwar möglicherweise nicht Ihre Standard-Stammzertifizierungsstelle in Ihrem DIGICert-Konto, es ist jedoch eine Option, wenn Sie die CSR an sie senden. BTW, ich arbeite nicht für DIGICert noch habe ich einen Vorteil, indem ich sie empfehle .. Ich fühle einfach diesen Schmerz und habe viel zu viele Stunden damit verbracht, $ 1000 US für ein billiges Zertifikat zu sparen, wenn ich ein teureres Zertifikat hätte kaufen und viel ausgeben können weniger Zeit mit den Support-Problemen. Dies ist nur ein Beispiel. Es gibt andere Zertifikatanbieter, die dasselbe anbieten.

99% Kompatibilität DigiCert Root-Zertifikate gehören zu den am meisten   weit verbreitete Autorität Zertifikate in der Welt. Als solche sind sie   automatisch von allen gängigen Webbrowsern, mobilen Geräten,   und Mail-Clients.

Vorbehalt - wenn Sie beim Erstellen des CSR die richtige Stammzertifizierungsstelle auswählen.


0
2018-03-10 00:36