¿Por qué muchos administradores utilizan la política "Desactivar actualización automática de certificados raíz"?

40

Mi empresa distribuye un instalador de Windows para un producto basado en servidor. Según las mejores prácticas, se firma con un certificado. De acuerdo con el consejo de Microsoft, utilizamos un certificado de firma de código GlobalSign , que Microsoft afirma que es reconocido por defecto por todas las versiones de Windows Server.

Ahora, todo esto funciona bien a menos que un servidor se haya configurado con la Política de grupo: Configuración de la computadora / Plantillas administrativas / Sistema / Administración de comunicación de Internet / Configuración de comunicación de Internet / Desactivar la actualización automática del certificado raíz como habilitada .

Descubrimos que uno de nuestros primeros beta testers se estaba ejecutando con esta configuración, lo que resultó en el siguiente error durante la instalación

No se puede instalar un archivo requerido porque el archivo del gabinete [ruta larga al archivo del gabinete] tiene una firma digital no válida. Esto puede indicar que el archivo del gabinete está dañado.

Describimos esto como una rareza, después de todo, nadie pudo explicar por qué el sistema se configuró de esta manera. Sin embargo, ahora que el software está disponible para uso general, parece que un doble dígito (porcentaje) de nuestros clientes está configurado con esta configuración y nadie sabe por qué. Muchos son reacios a cambiar la configuración.

Hemos escrito un artículo de KB para nuestros clientes, pero realmente no queremos que el problema ocurra, ya que realmente nos importa la experiencia del cliente.

Algunas cosas que hemos notado al investigar esto:

  1. Una nueva instalación de Windows Server no muestra el certificado Globalsign en la lista de autoridades raíz de confianza.
  2. Con Windows Server no conectado a Internet, la instalación de nuestro software funciona bien. Al final de la instalación, el certificado Globalsign está presente (no importado por nosotros). En segundo plano, Windows parece instalarlo de forma transparente en el primer uso.

Entonces, aquí está mi pregunta nuevamente. ¿Por qué es tan común deshabilitar la actualización de certificados raíz? ¿Cuáles son los posibles efectos secundarios de habilitar actualizaciones nuevamente? Quiero asegurarme de que podemos proporcionar a nuestros clientes la orientación adecuada.

Jeroen Ritmeijer
fuente
14
Los nuevos certificados raíz que aparecen en todos los sistemas sin advertencia o documentación son una preocupación para algunas personas de seguridad. Simplemente no confían en que Microsoft examinará completamente los nuevos certificados raíz sin al menos investigar por su cuenta. No ayuda nada cuando Microsoft hace cosas como impulsar 18 nuevos certificados raíz sin previo aviso.
Brian
¿No puede verificar si el certificado está disponible en el sistema y ofrecer descargarlo manualmente de su sitio web si la actualización está desactivada?
Falco
@falco Nop, el certificado debe estar en su lugar antes de que podamos ejecutar una lógica personalizada para detectar cosas como esta. Ese es el objetivo de firmar instaladores digitalmente. Además, si los administradores han deshabilitado la actualización de los certificados raíz, no estarán felices de permitir que algún proveedor externo haga esto.
Jeroen Ritmeijer
Entonces, ¿podría proporcionar un sitio web que verifique el certificado, que los usuarios pueden visitar antes de instalar su producto? ¿Como "visitar .... para verificar si su sistema es compatible" y en el sitio web mostrar los pasos para instalar el certificado si detecta que no está presente?
Falco
1
@falco que tenemos (hasta cierto punto), vea el enlace al artículo de KB en mi pregunta. Además ... la gente no lee las instrucciones.
Jeroen Ritmeijer

Respuestas:

33

A finales de 2012 / principios de 2013 hubo un problema con las actualizaciones automáticas de certificados raíz. La solución provisional fue deshabilitar las actualizaciones automáticas, por lo que en parte este problema es histórico.

La otra causa es el programa Trusted Root Certificate y Root Certificate Distribution, que (parafraseando a Microsoft ) ...

Los certificados raíz se actualizan en Windows automáticamente. Cuando un [sistema] encuentra un nuevo certificado raíz, el software de verificación de la cadena de certificados de Windows verifica la ubicación apropiada de Microsoft Update para el certificado raíz.

Hasta ahora, todo bien, pero entonces ...

Si lo encuentra, lo descarga al sistema. Para el usuario, la experiencia es perfecta. El usuario no ve ningún cuadro de diálogo de seguridad o advertencias. La descarga se realiza automáticamente, detrás de escena.

Cuando esto sucede, puede parecer que los certificados se agregan automáticamente a la tienda Root. Todo esto pone nerviosos a algunos administradores de sistemas, ya que no se puede eliminar una CA 'mala' de las herramientas de administración de certificados porque no están allí para eliminar ...

En realidad, hay maneras de hacer que Windows descargue la lista completa para que puedan editarla como lo deseen, pero es común simplemente bloquear las actualizaciones. Una gran cantidad de administradores de sistemas no entienden el cifrado o la seguridad (en general), por lo que siguen la sabiduría recibida (correcta o no) sin cuestionarlos y no les gusta hacer cambios en cosas que involucran seguridad que no entienden completamente creyendo que es algo de arte negro

James Snell
fuente
13
A great number of sysadmins [...] don't like making changes to things involving security that they don't fully understand believing it to be some black art.Sí. Triste pero cierto.
HopelessN00b
8
@ HopelessN00b ¿Prefiere que hagan libremente cambios de configuración que involucran seguridad que no entienden completamente? Eso me parece una propuesta mucho más aterradora.
Joshua Shearer
11
@JoshuaShearer Prefiero que entiendan o dejen de llamarse a sí mismos administradores de sistemas.
Kevin Krumwiede
2
@ JoshuaShearer Como dijo Kevin, si no entienden la seguridad, no deberían ser administradores de sistemas, y creo que es una propuesta aterradora tener un administrador de cualquier cosa que piense que la seguridad es algo de magia negra o vudú.
HopelessN00b
2
@JoshuaShearer: dado que no entienden, es discutible que no sepan si lo que ya tienen es correcto o no ... En muchas pequeñas y medianas empresas, el 'administrador' se "good with computers"debe a que tienen los últimos iThings brillantes en lugar de un profesional genuino.
James Snell
11

El componente Actualización automática de certificados raíz está diseñado para verificar automáticamente la lista de autoridades confiables en el sitio web de Microsoft Windows Update. Específicamente, hay una lista de autoridades de certificación raíz (CA) confiables almacenadas en la computadora local. Cuando una aplicación se presenta con un certificado emitido por una CA, verificará la copia local de la lista de CA raíz de confianza. Si el certificado no está en la lista, el componente Actualización automática de certificados raíz se comunicará con el sitio web de Microsoft Windows Update para ver si hay una actualización disponible. Si la CA se ha agregado a la lista de Microsoft de CA confiables, su certificado se agregará automáticamente al almacén de certificados de confianza en la computadora.

¿Por qué es tan común deshabilitar la actualización de certificados raíz?

La respuesta corta es probablemente que se trata de control. Si desea controlar en qué CA raíz son confiables (en lugar de usar esta función y dejar que Microsoft lo haga por usted), es más fácil y seguro crear una lista de CA raíz en las que desea confiar, distribúyalas en sus equipos de dominio. y luego bloquea esa lista. Dado que los cambios en la lista de CA raíz en las que una organización desea confiar serían relativamente raros, tiene cierto sentido que un administrador quiera revisar y aprobar cualquier cambio en lugar de permitir una actualización automática.

Para ser completamente franco, si nadie sabe por qué esta configuración está habilitada en un entorno dado, eso significa que no debe configurarse.

¿Cuáles son los posibles efectos secundarios de habilitar actualizaciones nuevamente?

Se permitiría a las computadoras de dominio verificar con la lista de CA confiables en el sitio de actualización de Microsoft Windows, y potencialmente agregar nuevos certificados en su almacén de certificados de confianza.

Si esto es inaceptable para sus clientes / clientes, los certificados pueden ser distribuidos por GPO, y tendrían que incluir su certificado en cualquier método de distribución que usen actualmente para certificados confiables.

O siempre puede sugerir que deshabilite temporalmente esta política en particular para permitir la instalación de su producto.

HopelessN00b
fuente
3

No estaría de acuerdo en que es común deshabilitar esto. Una mejor manera de expresarlo sería preguntar por qué alguien lo deshabilitaría. Y una mejor solución para su problema sería que el instalador verifique los certificados de CA raíz / intermedios y los instale si no están presentes.

El programa Trusted Root CA es esencial. Una TONELADA de aplicaciones simplemente no funcionaría como se esperaba si se desactivara ampliamente. Claro, puede haber algunas organizaciones que deshabiliten esta función, pero eso depende realmente de las organizaciones, según sus requisitos. Es una suposición errónea que cualquier aplicación que requiera una dependencia externa (certificado raíz) siempre funcionaría sin probarla. Tanto los desarrolladores de aplicaciones como las organizaciones que deshabilitan esta característica son responsables de garantizar la presencia de la dependencia externa (certificado raíz). Eso significa que si una organización deshabilita esto, saben que esperan este problema (o pronto lo aprenderán).

También vale la pena señalar que un propósito útil del mecanismo del programa Trusted Root CA (instalación dinámica de certificados de CA raíz) es que no es práctico instalar todos o incluso la mayoría de los certificados de CA raíz conocidos / confiables. Algunos componentes en Windows se rompen si hay demasiados certificados instalados, por lo que la única práctica factible es instalar solo los certificados que se necesitan, cuando se necesitan.

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

"El problema es este: el paquete de seguridad SChannel utilizado para enviar certificados confiables a los clientes tiene un límite de 16 KB. Por lo tanto, tener demasiados certificados en la tienda puede evitar que los servidores TLS envíen la información necesaria del certificado; comienzan a enviar pero tienen que detenerse cuando alcanzan los 16 KB. Si los clientes no tienen la información de certificado correcta, no pueden usar los servicios que requieren TLS para la autenticación. Debido a que el paquete de actualización de certificado raíz disponible en KB 931125 agrega manualmente una gran cantidad de certificados a la tienda, aplicándolo a los resultados de los servidores en la tienda que excede el límite de 16 KB y el potencial de autenticación fallida de TLS ".

Greg Askew
fuente
2
Gracias por su respuesta, pero en base a nuestra experiencia en el mundo real, ES común y no creo que ningún administrador de servidores esté contento de que instalemos un certificado raíz si han tomado la decisión de no confiar en Microsoft con esto. Además ... nuestro instalador no puede ejecutarse sin el certificado así que pollo ... huevo ...
Jeroen Ritmeijer
Entendido, pero también aprendió que usted es el propietario de probar la dependencia externa, documentar esto para la instalación y comunicar el requisito al cliente. Esa es la experiencia del mundo real. Dudo que su base de clientes califique como datos empíricos para respaldar la conclusión de que es "común" que esta función esté desactivada.
Greg Askew
@Muhimbi: Como solución práctica, puede proporcionar instrucciones para que los administradores instalen manualmente el certificado requerido, si no desean permitir actualizaciones automáticas de certificados raíz.
Ilmari Karonen
@IlmariKaronen, ya lo hacemos. Por alguna razón, no siempre funciona, incluso cuando lo importan en la tienda correcta. Quizás esté relacionado con muchos servidores que no están conectados a Internet, por lo que no pueden verificar la validez del certificado.
Jeroen Ritmeijer
3

Mi razón para deshabilitar el servicio certif.service es la siguiente:

Tengo muchos sistemas sin conexión a internet. Además, en la mayoría de los casos carecen de display / kb / mouse debido al hecho de que son máquinas virtuales en un gran DatastoreServer. Entonces, en todos los casos cuando necesitan mantenimiento / modificación, utilizo Windows RDP para llegar a ellos. Si se conecta a una máquina mediante RDP, Windows primero verifica las actualizaciones de certificados en línea. Si su servidor / cliente no tiene internet, se cuelga durante 10-20 segundos antes de continuar la conexión.

Hago muchas conexiones RDP cada día. Ahorro horas al no mirar el mensaje: "asegurar la conexión remota" :) +1 por deshabilitar certif.service.

Tommie84
fuente
Aunque entiendo, esa es una razón TERRIBLE :-) Hay mejores maneras de hacer esto. Me encontré con un problema similar (con SharePoint comprobando certificados y siendo lento como resultado) hace años. Puede encontrar varias soluciones y soluciones alternativas en blog.muhimbi.com/2009/04/new-approach-to-solve-sharepoints.html
Jeroen Ritmeijer
0

Sé que este es un hilo antiguo; Sin embargo, me gustaría presentar una solución alternativa. Utilice una autoridad de certificación (CA RAÍZ) distinta de la que está utilizando. En otras palabras, cambie su certificado de firma a uno que tenga una CA raíz mucho más antigua y aprobada.

DIGICert ofrece esto cuando solicita un certificado. Si bien esta podría no ser su CA raíz predeterminada dentro de su cuenta DIGICert, es una opción disponible al enviarles la CSR. Por cierto, no trabajo para DIGICert ni tengo ninguna ganancia al recomendarlos. Simplemente siento este dolor y he pasado demasiadas horas ahorrando $ 1000 en un certificado barato cuando podría haber comprado un certificado más caro y gastar mucho menos tiempo lidiando con los problemas de soporte. Esto es simplemente un ejemplo. Hay otros proveedores de certificados que ofrecen lo mismo.

99% de compatibilidad Los certificados raíz DigiCert se encuentran entre los certificados de autoridad más confiables del mundo. Como tal, son reconocidos automáticamente por todos los navegadores web, dispositivos móviles y clientes de correo comunes.

Advertencia: si selecciona la CA raíz correcta al hacer la CSR.

Edwin
fuente