Mengapa banyak admin yang menggunakan kebijakan 'Nonaktifkan Pembaruan Sertifikat Root Root'?

40

Perusahaan saya mendistribusikan Pemasang Windows untuk produk berbasis Server. Sesuai praktik terbaik itu ditandatangani menggunakan sertifikat. Sejalan dengan saran Microsoft, kami menggunakan sertifikat penandatanganan kode GlobalSign , yang menurut Microsoft diakui secara default oleh semua versi Windows Server.

Sekarang, ini semua berfungsi dengan baik kecuali server telah dikonfigurasi dengan Kebijakan Grup: Konfigurasi Komputer / Template Administratif / Sistem / Manajemen Komunikasi Internet / Pengaturan Komunikasi Internet / Nonaktifkan Pembaruan Sertifikat Root Otomatis sebagai Diaktifkan .

Kami menemukan bahwa salah satu penguji beta awal kami berjalan dengan konfigurasi ini yang menghasilkan kesalahan berikut selama pemasangan

File yang diperlukan tidak dapat diinstal karena file kabinet [jalur panjang ke file cab] memiliki tanda tangan digital yang tidak valid. Ini mungkin menunjukkan bahwa file kabinet rusak.

Kami menulis ini sebagai keanehan, setelah semua tidak ada yang bisa menjelaskan mengapa sistem dikonfigurasi seperti ini. Namun, sekarang perangkat lunak tersedia untuk penggunaan umum, tampaknya dua digit (persentase) pelanggan kami dikonfigurasikan dengan pengaturan ini dan tidak ada yang tahu mengapa. Banyak yang enggan mengubah pengaturan.

Kami telah menulis artikel KB untuk pelanggan kami, tetapi kami benar-benar tidak ingin masalah terjadi sama sekali karena kami benar-benar peduli dengan pengalaman pelanggan.

Beberapa hal yang kami perhatikan saat menyelidiki ini:

  1. Instalasi Windows Server yang baru tidak menunjukkan sertifikat Globalsign dalam daftar otoritas root tepercaya.
  2. Dengan Windows Server yang tidak terhubung ke internet, menginstal perangkat lunak kami berfungsi dengan baik. Pada akhir instalasi, sertifikat Globalsign hadir (tidak diimpor oleh kami). Di latar belakang, Windows muncul untuk menginstalnya secara transparan saat pertama kali digunakan.

Jadi, inilah pertanyaan saya lagi. Mengapa sangat umum untuk menonaktifkan pembaruan sertifikat root? Apa efek samping potensial dari mengaktifkan pembaruan lagi? Saya ingin memastikan bahwa kami dapat memberikan panduan yang tepat kepada pelanggan kami.

Jeroen Ritmeijer
sumber
14
Sertifikat root baru yang muncul di semua sistem tanpa peringatan atau dokumentasi merupakan masalah bagi sebagian petugas keamanan. Mereka tidak percaya Microsoft untuk sepenuhnya memeriksa sertifikat root baru tanpa setidaknya melakukan beberapa pemeriksaan sendiri. Tidak membantu masalah ketika Microsoft melakukan hal-hal seperti mendorong 18 sertifikat root baru tanpa pemberitahuan.
Brian
Tidak bisakah Anda memeriksa apakah sertifikat tersedia di sistem dan menawarkan untuk mengunduh sertifikat Anda secara langsung dari situs web Anda jika pembaruan dinonaktifkan?
Falco
@falco Tidak, sertifikat harus ada di tempat sebelum kita dapat menjalankan logika khusus untuk mendeteksi hal-hal seperti ini. Itulah inti dari pemasang yang menandatangani secara digital. Juga, jika admin telah menonaktifkan pembaruan sertifikat root, maka mereka tidak akan senang membiarkan beberapa vendor pihak ketiga melakukan ini.
Jeroen Ritmeijer
Lalu Anda bisa menyediakan situs web yang memeriksa sertifikat, yang dapat dikunjungi pengguna sebelum menginstal produk Anda? Seperti "kunjungi .... untuk memeriksa apakah sistem Anda kompatibel" dan pada tampilan situs web langkah-langkah untuk menginstal sertifikat jika Anda mendeteksi tidak ada?
Falco
1
@falco Yang kita miliki (sampai taraf tertentu), lihat tautan ke Artikel KB dalam pertanyaan saya. Juga ... orang tidak membaca instruksi.
Jeroen Ritmeijer

Jawaban:

33

Pada akhir 2012 / awal 2013 ada masalah dengan pembaruan sertifikat root otomatis. Perbaikan sementara adalah untuk menonaktifkan pembaruan otomatis, sehingga sebagian masalah ini bersifat historis.

Penyebab lainnya adalah program Sertifikat Root Tepercaya dan Distribusi Sertifikat Root, yang (untuk memparafrasekan Microsoft ) ...

Sertifikat root diperbarui pada Windows secara otomatis. Ketika [sistem] menemukan sertifikat root baru, perangkat lunak verifikasi rantai sertifikat Windows memeriksa lokasi Pembaruan Microsoft yang sesuai untuk sertifikat root.

Sejauh ini, sangat bagus tapi kemudian ...

Jika menemukannya, ia mengunduhnya ke sistem. Bagi pengguna, pengalaman itu mulus. Pengguna tidak melihat kotak dialog atau peringatan keamanan apa pun. Pengunduhan terjadi secara otomatis, di belakang layar.

Ketika ini terjadi, dapat muncul bahwa sertifikat sedang ditambahkan secara otomatis ke toko Root. Semua ini membuat beberapa sysadmin gugup karena Anda tidak dapat menghapus CA 'buruk' dari alat manajemen sertifikat karena mereka tidak ada di sana untuk menghapus ...

Sebenarnya ada cara untuk membuat windows mengunduh daftar lengkap sehingga mereka dapat mengeditnya seperti yang diinginkan tetapi itu umum untuk hanya memblokir pembaruan. Sejumlah besar sysadmin tidak memahami enkripsi atau keamanan (umumnya) sehingga mereka mengikuti kebijaksanaan yang diterima (benar atau sebaliknya) tanpa pertanyaan dan mereka tidak suka membuat perubahan pada hal-hal yang melibatkan keamanan yang mereka tidak sepenuhnya mengerti percaya bahwa itu adalah beberapa seni hitam.

James Snell
sumber
13
A great number of sysadmins [...] don't like making changes to things involving security that they don't fully understand believing it to be some black art.Ya. Sedih, tapi benar.
HopelessN00b
8
@ HopelessN00b Jadi Anda lebih suka mereka secara bebas membuat perubahan konfigurasi yang melibatkan keamanan yang tidak sepenuhnya mereka pahami? Bagi saya itu agak jauh lebih menakutkan.
Joshua Shearer
11
@ JoshuaShearer Saya lebih suka mereka mengerti atau berhenti menyebut diri mereka sysadmin.
Kevin Krumwiede
2
@ JoshuaShearer Seperti yang dikatakan Kevin, jika mereka tidak memahami keamanan, mereka seharusnya tidak menjadi sysadmin, dan saya menganggapnya sebagai usulan yang menakutkan untuk memiliki administrator apa pun yang berpikir bahwa keamanan adalah sihir hitam atau voodo.
HopelessN00b
2
@ JoshuaShearer - karena mereka tidak mengerti, ini bisa diperdebatkan karena mereka tidak akan tahu apakah apa yang sudah mereka miliki benar atau tidak ... Dalam banyak bisnis kecil-menengah 'admin' adalah "good with computers"karena mereka memiliki iThings mengkilap terbaru daripada profesional sejati.
James Snell
11

The komponen Automatic Sertifikat Akar Perbarui dirancang untuk secara otomatis memeriksa daftar otoritas terpercaya di situs Microsoft Windows Update Web. Secara khusus, ada daftar otoritas sertifikasi akar tepercaya (CA) yang disimpan di komputer lokal. Ketika sebuah aplikasi disajikan dengan sertifikat yang dikeluarkan oleh CA, itu akan memeriksa salinan lokal dari daftar CA root tepercaya. Jika sertifikat tidak ada dalam daftar, komponen Pembaruan Sertifikat Akar Otomatis akan menghubungi situs Web Pembaruan Microsoft Windows untuk melihat apakah pembaruan tersedia. Jika CA telah ditambahkan ke daftar CA tepercaya dari Microsoft, sertifikatnya akan secara otomatis ditambahkan ke penyimpanan sertifikat tepercaya di komputer.

Mengapa sangat umum untuk menonaktifkan pembaruan sertifikat root?

Jawaban singkatnya mungkin tentang kontrol. Jika Anda ingin mengontrol CA root apa yang tepercaya (daripada menggunakan fitur ini dan membiarkan Microsoft melakukannya untuk Anda), lebih mudah dan paling aman untuk membuat daftar CA root yang ingin Anda percayai, distribusikan ke komputer domain Anda , dan kemudian kunci daftar itu. Karena perubahan pada daftar CA root yang ingin dipercayai oleh suatu organisasi akan relatif jarang terjadi, masuk akal bahwa administrator ingin meninjau dan menyetujui perubahan apa pun daripada membiarkan pembaruan otomatis.

Sejujurnya, jika tidak ada yang tahu mengapa pengaturan ini diaktifkan di lingkungan tertentu, itu berarti tidak boleh diatur.

Apa efek samping potensial dari mengaktifkan pembaruan lagi?

Komputer domain akan diizinkan untuk memeriksa daftar CA tepercaya di Situs Pembaruan Microsoft Windows, dan berpotensi menambahkan sertifikat baru ke dalam penyimpanan sertifikat tepercaya mereka.

Jika ini tidak dapat diterima oleh klien / pelanggan Anda, sertifikat dapat didistribusikan oleh GPO, dan mereka harus memasukkan sertifikat Anda dalam metode distribusi apa pun yang saat ini mereka gunakan untuk sertifikat tepercaya.

Atau Anda selalu dapat menyarankan untuk sementara menonaktifkan kebijakan khusus ini, untuk memungkinkan pemasangan produk Anda.

HopelessN00b
sumber
3

Saya tidak akan setuju bahwa ini umum untuk menonaktifkan ini. Cara yang lebih baik untuk mengatakannya adalah dengan bertanya mengapa seseorang menonaktifkannya. Dan solusi yang lebih baik untuk masalah Anda adalah installer untuk memeriksa root / sertifikat CA menengah dan menginstalnya jika tidak ada.

Program CA Root Tepercaya sangat penting. Satu TON aplikasi tidak akan berfungsi seperti yang diharapkan jika dimatikan secara luas. Tentu, mungkin ada beberapa organisasi yang menonaktifkan fitur ini, tetapi itu benar-benar tergantung pada organisasi, berdasarkan persyaratan mereka. Ini adalah asumsi yang salah bahwa aplikasi apa pun yang memerlukan ketergantungan eksternal (sertifikat root) akan selalu berfungsi tanpa mengujinya. Baik pengembang aplikasi maupun organisasi yang menonaktifkan fitur ini memiliki tanggung jawab untuk memastikan adanya ketergantungan eksternal (sertifikat root). Itu berarti jika suatu organisasi menonaktifkan ini, mereka tahu untuk mengharapkan masalah ini (atau akan segera mempelajarinya).

Perlu juga dicatat bahwa salah satu tujuan berguna dari mekanisme program CA Root Tepercaya (pemasangan dinamis sertifikat CA root) adalah bahwa tidak praktis untuk menginstal semua atau bahkan sebagian besar sertifikat CA root yang terkenal / tepercaya. Beberapa komponen di Windows rusak jika terlalu banyak sertifikat yang diinstal, jadi satu-satunya praktik yang layak adalah menginstal hanya sertifikat yang diperlukan, saat dibutuhkan.

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

"Masalahnya adalah ini: paket keamanan SChannel yang digunakan untuk mengirim sertifikat tepercaya kepada klien memiliki batas 16KB. Oleh karena itu, memiliki terlalu banyak sertifikat di toko dapat mencegah server TLS mengirim informasi sertifikat yang diperlukan; mereka mulai mengirim tetapi harus berhenti ketika mereka mencapai 16KB. Jika klien tidak memiliki informasi sertifikat yang tepat, mereka tidak dapat menggunakan layanan yang memerlukan TLS untuk otentikasi. Karena paket pembaruan sertifikat root yang tersedia di KB 931125 secara manual menambahkan sejumlah besar sertifikat ke toko, menerapkannya ke hasil server di toko melebihi batas 16KB dan potensi kegagalan otentikasi TLS. "

Greg Askew
sumber
2
Terima kasih atas jawaban Anda, tetapi berdasarkan pengalaman dunia nyata kami, itu biasa dan saya tidak berpikir admin server akan senang jika kami memasang sertifikat root jika mereka membuat keputusan untuk tidak mempercayai Microsoft dengan ini. Juga .... installer kami tidak dapat berjalan tanpa cert so chicken ... egg ...
Jeroen Ritmeijer
Dimengerti, tetapi Anda juga belajar bahwa Anda memiliki pengujian ketergantungan eksternal, mendokumentasikan ini untuk instalasi, dan mengomunikasikan persyaratan kepada pelanggan. Itu adalah pengalaman dunia nyata. Saya ragu bahwa basis pelanggan Anda akan memenuhi syarat sebagai data empiris untuk mendukung kesimpulan bahwa "umum" bahwa fitur ini dinonaktifkan.
Greg Askew
@Muhimbi: Sebagai solusi praktis, Anda dapat memberikan instruksi bagi admin untuk secara manual menginstal sertifikat yang diperlukan, jika mereka tidak ingin memperbolehkan pembaruan sertifikat root otomatis.
Ilmari Karonen
@IlmariKaronen, sudah kami lakukan. Untuk beberapa alasan itu tidak selalu berhasil, bahkan ketika mereka mengimpornya ke toko yang benar. Mungkin ini terkait dengan banyak server yang tidak terhubung ke internet sehingga mereka tidak dapat memverifikasi validitas sertifikat.
Jeroen Ritmeijer
3

Alasan saya menonaktifkan certif.service adalah sebagai berikut:

Saya memiliki banyak sistem tanpa koneksi internet. Juga dalam kebanyakan kasus mereka tidak memiliki tampilan / kb / mouse karena pada kenyataannya mereka adalah mesin virtual pada DatastoreServer besar. Jadi dalam semua kasus ketika mereka membutuhkan pemeliharaan / modifikasi, saya menggunakan Windows RDP untuk mendapatkannya. Jika Anda terhubung ke mesin melalui RDP, Windows terlebih dahulu memeriksa pembaruan sertifikat secara online. Jika server / klien Anda tidak memiliki internet, hang selama 10-20 detik sebelum melanjutkan koneksi.

Saya membuat banyak koneksi RDP setiap hari. Saya menghemat waktu karena tidak menatap pesan: "mengamankan koneksi jarak jauh" :) +1 untuk menonaktifkan layanan certif.ser!

Tommie84
sumber
Meskipun saya mengerti, itu adalah alasan yang mengerikan :-) Ada cara yang lebih baik untuk melakukan ini. Saya mengalami masalah yang sama (dengan SharePoint memeriksa sertifikat dan lambat sebagai hasilnya) tahun yang lalu. Anda dapat menemukan beberapa solusi dan solusi di blog.muhimbi.com/2009/04/new-approach-to-solve-sharepoints.html
Jeroen Ritmeijer
0

Saya tahu ini adalah utas yang lebih lama; namun, saya ingin mengajukan solusi alternatif. Gunakan otoritas sertifikat (ROOT CA) selain yang Anda gunakan. Dengan kata lain, alihkan sertifikat penandatanganan Anda ke yang memiliki CA root jauh lebih tua, yang disetujui.

DIGICert menawarkan ini saat meminta sertifikat. Meskipun ini mungkin bukan CA default root Anda dalam akun DIGICert Anda, ini merupakan opsi yang tersedia saat mengirimkan CSR kepada mereka. BTW, saya tidak bekerja untuk DIGICert juga tidak memiliki keuntungan dengan merekomendasikan mereka .. Saya hanya merasakan rasa sakit ini dan menghabiskan terlalu banyak waktu untuk menghemat $ 1000 US pada sertifikat murah ketika saya bisa membeli sertifikat yang lebih mahal dan menghabiskan banyak lebih sedikit waktu berurusan dengan masalah dukungan. Ini hanyalah sebuah contoh. Ada penyedia sertifikat lain yang menawarkan hal yang sama.

99% Kompatibilitas Sertifikat Akar DigiCert adalah salah satu sertifikat otoritas paling tepercaya di dunia. Dengan demikian, mereka secara otomatis dikenali oleh semua peramban web, perangkat seluler, dan klien email yang umum.

Peringatan - jika Anda memilih CA akar yang benar saat membuat CSR.

Edwin
sumber